Защищает ли приведение к типу данных int от sql инъекций?

Question

[nepster-web]

К примеру есть ссылки вида: site.ru/news/23/

Будет ли достаточно сделать вот так для избежания инъекций:
$news_id = (int)$_GET['param']

Answer 1

[link_irk]

Лучше работу с БД вынести в отдельный класс. И при вызове метода, который производит запрос к БД, делать фильтрацию входных данных.

Answer 2

[Mikhail Osher]

Если именно ответить по теме - да, в Вашем случае это спасет.
Но, лучше это положить на плечи функций/методов для работы с базой данных.

Answer 3

[Роман Кокарев]

Ну не int, а intval, как минимум.
А вообще, для начала просто экранируйте всё "ненадёжное".

Comments

[Евгений Лещенко]

а чем хуже явное приведение типа?

[nepster-web]

я вообще никогда не использую intval.

Потому, как если пользователю нужно ввести числовое поле, а он вводит 32a -> ему нужно явно указать на ошибку.

поэтом is_numeric только.

А вообще раньше изучая php мне нравилось, что нет привязки к типам данных, а вот сейчас когда более менее разобрался что к чему и словил парочку взломов, то без типизированных переменных в некоторых моментах получается не очень хорошо.

Answer 4

[Alex Kheben]

Используйте PDO и prepared statements - будет вам счастье. Сейчас многие фреймворки работают с БД именно через PDO. Если все значения задавать через плейсхолдеры (в PDO), то _теоретически_ это исключает возможность SQL-инъекции.