Как правильно передать переменную в запрос к БД?

Question

[Валерий Гутин]

Для выборки нужно передавать значение переменной ID. Как это сделать наиболее безопасно?

$id = $_GET["id"];

$res = $mysqli->query("SELECT * FROM goods WHERE id = '$id'");

Answer 1

[Rsa97]

Использовать подготовленные выражения с плейсхолдерами.

Answer 2

[MaximMRX]

Если пишите что-то своё и вам нужно использовать базу, то что бы не придумывать велосипед с PDO, использую ORM RedBeanPHP, именно эта ORM себя зарекомендовала себя хорошо. Легка в использовании, хорошая документация и довольно быстрая

Answer 3

[Борис Сёмов]

Если учитесь, то срочно забывайте о существовании mysql(i), и осваивайте PDO. Используйте привязку параметров и подготовленные выражения. И никогда не используйте переменные в тексте запроса...

Если по какой-то причине, это какой-то legacy код, который нельзя переписать и обязательно надо использовать mysqli, то по меньшей мере, проверьте тип и значение id, например, с помощью filter_var($id, FILTER_VALIDATE_INT). Или другим подходящим способом. Внимание: не is_int(), т.к. $_GET["id"] это строка...

Comments

[Валерий Гутин]

if (isset($_GET["id"])) {
	$id = htmlspecialchars($_GET["id"]);
} else {
	exit();
}

if (is_numeric($id)) {
	$res = $mysqli->query("SELECT * FROM goods WHERE id = '$id'");

[Борис Сёмов]

alohamneploha, Если id это целое число, что вероятнее всего, то первая ваша проверка просто не имеет смысла, а вторая не верна, т.к. пропустит и не целые числа.

[iRedds]

А чем mysqli плох?

[Борис Сёмов]

iRedds, mysqli:

• Не поддерживает подготовленных запросов
  
• Требует куда больше внимания к проверке входных данных
  
• Поддерживается скорее из соображений обратной совместимости, и отвалится явно раньше PDO
  
• Умеет работать только с mysql, наконец.
  

А плюсов, при этом, фактически нет...