Как безопасно передавать данные в mysql запрос?

Question

[Евгений Иванов]

Сейчас делаю так

if (isset($_POST['position'])) $position=$_POST['position'] ? mysql_real_escape_string($_POST['position']) : '';

И далее доп проверки по типу

if ($position>10) {echo'Больше 10. Стоп.'; exit();}

т.е. использую mysql_real_escape_string

Но если послать в $_POST['position'] 0 (ноль), то mysql_real_escape_string отфильтрует его.
Если 00 то всё нормально, не фильтрует.
Разумеется у меня может быть 0 в моем значении. но получить его я не могу т.к. я передаю ноль, а конструкция mysql_real_escape_string его уничтожает.

В связи с этим возникают два вопроса
1) Почему mysql_real_escape_string уничтожает (фильтрует?) строку вида "0", когда строку "00" пропускает?
2) Как безопасно передавать данные в mysql запрос?

Answer 1

[Snewer]

Используйте PDO

Answer 2

[Дмитрий]

Добрый день.
Если Вы передаёте число, как я понимаю, то и обозначайте, что это integer.

$position=$_POST['position'] ? int()$_POST['position'] : '';

Comments

[Евгений Иванов]

Нет передаю строку. Но строка 0 или 00 или любой текст.

[Дмитрий]

logpol32: В $_POST['position'] у Вас может быть и число и строка? Странно... Надо бы определиться.

[Adamos]

то и обозначайте, что это integer.

А толку-то, если 0 == false?

Answer 3

[Максим Гришин]

Проверка $_POST['position'] возвращает ложь для 0. Проверяйте через !==null.

Comments

[Adamos]

isset уже говорит, что в $_POST что-то есть, и никакого null там быть не может.

[Максим Гришин]

Adamos: Однако если там "0", идет вначале typecast в логическое выражение, результат "0" -> 0 (int) -> false (boolean) и данные не вставляются.

[Adamos]

Максим Гришин: лучше расскажите, что вы собрались сравнивать с null. Если $_POST['position'] без проверки, есть ли вообще такой ключ, то первым делом вы получите warning, а уже потом - результат сравнения.
А если такой ключ таки есть - не подскажете, как можно в $_POST передать null?

[Максим Гришин]

Adamos: А тогда нафига там тернарный оператор? Тогда просто сразу передавайте $_POST['position'], можно с преобразованием типа, если уж там ожидается int. А то вот какая засада есть:

<?php
$a=0;
if (isset($a)) { echo("\$a is set <br />");}
if ($a!==null) { echo ("\$a is not strictly null"); } else { echo ("\$a is strictly null!");}
echo "<br />";
if ($a!=null) { echo ("\$a is not null"); } else { echo ("\$a is null!");}

возаращает:

$a is set
$a is not strictly null
$a is null!

[Adamos]

Максим Гришин: если вам хочется кому-то объяснить азы, обратитесь к ТС.

[Максим Гришин]

Adamos: Прошу прощения, сначала думал, что ТС это вы. А так да, правильно ИМХО писать if isset($_POST['position'] ) mysql_real_escape_string($_POST['position'] ) . Или в тернарном виде

isset($_POST['position'] )?mysql_real_escape_string($_POST['position'] ):'';

[Adamos]

Максим Гришин: мой PhpStorm настаивает, что правильнее проверять array_key_exists('position', $_POST).
Уже и не помню, почему.
И mysql_ сто лет как deprecated. PDO или хотя бы плейсхолдеры - наше все.