Надежно ли использовать только is_numeric и is_int?

2. От SQL инъекций защищает https://www.php.net/manual/ru/mysqli.real-escape-s... непосредственно перед запросом.

А если запрос будет примерно такой:

/index.php?uid=-777 UNION SELECT password FROM userlist

filter_input

А как быть, когда нужен REQUEST?

Антон, да INPUT_REQUEST не поддерживается.
Я обычно делаю что-то типа

$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) ?: filter_input(INPUT_POST, 'id', FILTER_VALIDATE_INT);

Anton B, ?:
А чо, так можно было?))))

Anton B, а мой способ надежный или нет?)

rinaz22,
$a = '/index.php?uid=-777 UNION SELECT password FROM userlist'
$a = mysqli_real_escape_string($a)
SELECT * FROM `users` WHERE `id` = '$a'

Запрос безопасный

Anton B, Вы так каждый раз пишите или используете библиотеки для работы с реквестом или свои наработки?

Konata Izumi, не понял?

rinaz22, это я спрашивал насчет

$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) ?: filter_input(INPUT_POST, 'id', FILTER_VALIDATE_INT);

Очень громоздкая конструкция выходит. Пользоваться такой постоянно неудобно.

Konata Izumi, если вы про мой код, то да, всегда

Konata Izumi, Вынести в свою пользовательскую и передавать два параметра, название и фильтр.

Konata Izumi,

Очень громоздкая конструкция выходит. Пользоваться такой постоянно неудобно.

$id = abs((int)$_GET['id']);

Антон, ненамного короче выйдет.
Да и зачем что-то фильтровать, если можно провалидировать?

Konata Izumi, Можно пример? Я только сейчас увидел данный метод, что там в фильтрах разобраться не успел, мельком только, но...
Представить, что нам нужно почистить запрос, а это трим, это спешал чарс, где-то реплейс или регех, понятное дело, что для упрощения всего этого, придется писать собственную обертку, и опять же, не сильно короче она станет.

Konata Izumi, если вы работаете как машинист и вам надо в сутки сдать 100к символов кода, то наверно это громоздкая конструкция =)

А вообще если используешь IDE (в моем случае PHPStorm), то там с автокомплитами это все очень быстро пишется.

Антон, вот пример фильтра filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT)
если делать "Вынести в свою пользовательскую и передавать два параметра, название и фильтр" получится почти та же функция, но с двумя параметрами. Суть не особо изменится.

Вообще тут стоит вернуться к изначальной задаче:
В реквесте приходит id, нужно убедиться, что там пришел именно id (некое число).

У нас минимум два пути как это сделать:
1. Отфильтровать то, что пришло до числа.
2. Провалидировать значение, пропустить только корректное.

Я склоняюсь ко второму способу.
Автор вопроса так же делал изначально.
Автор ответа предлагает пойти по первому пути.

Anton B, Я использую симфонийский компонент реквест из фреймворка. И там это пишется еще быстрее, т.к. вся низкоуровневая логика сокрыта.

Konata Izumi, Если про конкретный случай, я бы тоже сделал как автор, ну а уж если не извне, и я фактически уверен, что ничего левого не будет, но все равно на всякий случай привел бы к типу
$x = (int) $somevar

Антон, если PHP 7 то можно использовать оператор ?? чтобы не использовать :