הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

Shay Ben Moshe · 30-05-10, 22:41

אני רואה שתי אופציות חכמות, אחת להמיר את המשתנה לint (עדיף על ידי casting ולא על ידי intval, הרבה יותר מהיר) מה שחוסם לחלוטין את האופציה להכניס משתנה לא תקין. האופצייה השנייה היא לוודא תקינות בעזרת is_int וזהו.
אופציה 1:

PHP קוד:


			
$Id = (int)$_GET['id'];

$result=mysql_query("SELECT Name,Date,Text FROM Users WHERE Id=".$Id,$link);

אופציה 2:

PHP קוד:


			
$Id = $_GET['id'];

if(!is_int($Id)) {

    header('Location:404.php');

    die;

}

$result=mysql_query("SELECT Name,Date,Text FROM Users WHERE Id=".$Id,$link);

30-05-10, 22:41	# 7
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	אני רואה שתי אופציות חכמות, אחת להמיר את המשתנה לint (עדיף על ידי casting ולא על ידי intval, הרבה יותר מהיר) מה שחוסם לחלוטין את האופציה להכניס משתנה לא תקין. האופצייה השנייה היא לוודא תקינות בעזרת is_int וזהו. אופציה 1: PHP קוד: `$Id = (int)$_GET['id']; $result=mysql_query("SELECT Name,Date,Text FROM Users WHERE Id=".$Id,$link);` אופציה 2: PHP קוד: `$Id = $_GET['id']; if(!is_int($Id)) { header('Location:404.php'); die; } $result=mysql_query("SELECT Name,Date,Text FROM Users WHERE Id=".$Id,$link);` __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.