Защита от SQL инекций

[0931454574]

Добрый день.
Взгляните на код запроса пожалуйста. Достаточно ил таких проверок для устранения угрозы?

$strquery = "SELECT * FROM `topics` WHERE  `id`='%d'";
   $query =  sprintf($strquery,mysql_real_escape_string($_GET[id]));

[firstchild]

Ё, чувак, как ты умудрился заработать такую карму(-751)?

[0931454574]

firstchild,
Наверное такой результат потому, что я её не зарабатывал.Ё

[x-yuri]

во-первых, такое впечатление, что ты все свои знания вложил в эту строку, лишь бы как-нибудь чего-нибудь не просочилось. Это называется уличная магия. В данном случае достаточно убрать все нечисловые символы либо проверить их наличие. Во-вторых, не надо сравнивать со строковым значением, если столбец численный. В-третьих, используй фреймворки

[firstchild]

Ё, int?

$strquery = "SELECT * FROM `topics` WHERE  `id`='".(int)$_GET['id']."'";

пакажи мне чудо

[x-yuri]

вы, конечно, можете сказать, что int'а в любом случае хватит. Но я бы сделал лучше, если тип столбца не помещается в int. Потому что это не сложно: либо is_numeric, либо filter_var('122312147483648', FILTER_SANITIZE_NUMBER_INT). Хотя возможно бд и к числу в виде строки адекватно отнесется, надо проверять

[Serg_pnz]

Сообщение от x-yuri

В-третьих, используй фреймворки

Кстати да http://dklab.ru/lib/DbSimple/manual.html

[0931454574]

Прекрасно.

[0931454574]

Сообщение от x-yuri

во-первых, такое впечатление, что ты все свои знания вложил в эту строку, лишь бы как-нибудь чего-нибудь не просочилось. Это называется уличная магия. В данном случае достаточно убрать все нечисловые символы либо проверить их наличие. Во-вторых, не надо сравнивать со строковым значением, если столбец численный. В-третьих, используй фреймворки

Я так понимаю это комплимент_)_

[dmitriymar]

Сообщение от 0931454574

во-первых, такое впечатление, что ты все свои знания вложил в эту строку,

не похоже это на комплимент...