Надежно ли использовать только is_numeric и is_int?

Question

[rinaz22]

Всем привет! Перед тем как делать запрос, проверяю id с помощью такого условия:

if (!is_numeric($_GET['id']) or !is_int($_GET['id']+0))
	exit ("Ошибка!");

Если все хорошо, то делаю запрос:
SELECT * FROM `users` WHERE `id` = '$_GET[id]'
Надежна ли такая проверка или все же могу "подцепить" SQL инъекцию?

Comments

[Дмитрий]

По мне каст короче

Answer 1

[Anton B]

1. Забудьте про $_GET/$_POST/$_SERVER/$_COOKIE, в PHP уже давно есть filter_input

$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);

Смотрите мануал https://www.php.net/manual/ru/function.filter-inpu... смотрите фильтры, опции, примеры.

2. От SQL инъекций защищает https://www.php.net/manual/ru/mysqli.real-escape-s... непосредственно перед запросом.

Comments

[rinaz22]

2. От SQL инъекций защищает https://www.php.net/manual/ru/mysqli.real-escape-s... непосредственно перед запросом.

А если запрос будет примерно такой:

/index.php?uid=-777 UNION SELECT password FROM userlist

[Антон]

filter_input

А как быть, когда нужен REQUEST?

[Anton B]

Антон, да INPUT_REQUEST не поддерживается.
Я обычно делаю что-то типа

$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) ?: filter_input(INPUT_POST, 'id', FILTER_VALIDATE_INT);

[Антон]

Anton B, ?:
А чо, так можно было?))))

[rinaz22]

Anton B, а мой способ надежный или нет?)

[Anton B]

rinaz22,
$a = '/index.php?uid=-777 UNION SELECT password FROM userlist'
$a = mysqli_real_escape_string($a)
SELECT * FROM `users` WHERE `id` = '$a'

Запрос безопасный

[Konata Izumi]

Anton B, Вы так каждый раз пишите или используете библиотеки для работы с реквестом или свои наработки?

[rinaz22]

Konata Izumi, не понял?

[Konata Izumi]

rinaz22, это я спрашивал насчет

$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) ?: filter_input(INPUT_POST, 'id', FILTER_VALIDATE_INT);

Очень громоздкая конструкция выходит. Пользоваться такой постоянно неудобно.

[rinaz22]

Konata Izumi, если вы про мой код, то да, всегда

[Антон]

Konata Izumi, Вынести в свою пользовательскую и передавать два параметра, название и фильтр.

[Сергей delphinpro]

Konata Izumi,

Очень громоздкая конструкция выходит. Пользоваться такой постоянно неудобно.

$id = abs((int)$_GET['id']);

[Konata Izumi]

Антон, ненамного короче выйдет.
Да и зачем что-то фильтровать, если можно провалидировать?

[Антон]

Konata Izumi, Можно пример? Я только сейчас увидел данный метод, что там в фильтрах разобраться не успел, мельком только, но...
Представить, что нам нужно почистить запрос, а это трим, это спешал чарс, где-то реплейс или регех, понятное дело, что для упрощения всего этого, придется писать собственную обертку, и опять же, не сильно короче она станет.

[Anton B]

Konata Izumi, если вы работаете как машинист и вам надо в сутки сдать 100к символов кода, то наверно это громоздкая конструкция =)

А вообще если используешь IDE (в моем случае PHPStorm), то там с автокомплитами это все очень быстро пишется.

[Konata Izumi]

Антон, вот пример фильтра filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT)
если делать "Вынести в свою пользовательскую и передавать два параметра, название и фильтр" получится почти та же функция, но с двумя параметрами. Суть не особо изменится.

Вообще тут стоит вернуться к изначальной задаче:
В реквесте приходит id, нужно убедиться, что там пришел именно id (некое число).

У нас минимум два пути как это сделать:
1. Отфильтровать то, что пришло до числа.
2. Провалидировать значение, пропустить только корректное.

Я склоняюсь ко второму способу.
Автор вопроса так же делал изначально.
Автор ответа предлагает пойти по первому пути.

[Konata Izumi]

Anton B, Я использую симфонийский компонент реквест из фреймворка. И там это пишется еще быстрее, т.к. вся низкоуровневая логика сокрыта.

[Антон]

Konata Izumi, Если про конкретный случай, я бы тоже сделал как автор, ну а уж если не извне, и я фактически уверен, что ничего левого не будет, но все равно на всякий случай привел бы к типу
$x = (int) $somevar

[Kerm]

Антон, если PHP 7 то можно использовать оператор ?? чтобы не использовать :

Answer 2

[Konata Izumi]

Не в том месте от инъекций защищаетесь.
Лучше это делать непосредственно перед запросом (prepared statements к примеру).

Comments

[rinaz22]

Не совсем понял. Что значит не в том месте? Я же проверю перед тем, как делать запрос

[Konata Izumi]

rinaz22, По коду это не видно, мб у вас там другая логика перед запросом в базу.
Я имел в виду то, что проверять данные не после их получение из реквеста, а перед запросом в бд.

В данном случае с инт может и сработать. С типом стринг уже не прокатит.

В фреймворках защитой от инъекций занимается квери билдер где-то внутри себя (через pdo prepared statments к примеру).

[1210mk2]

rinaz22, имеется в виду, что вы защищаетесь форматированием переменной,
а prepared statements - вещь двухэтапная: 1) шаблон запроса 2) подстановка данных и только данных (без потенциальной модификации запроса).

[rinaz22]

1210mk2, я использую mysqli, а не pdo

[Konata Izumi]

rinaz22, prepared statements в mysqli тоже есть.

Answer 3

[Северное Сияние]

Посмотри мою обертку под MySql. Там это уже всё сделано.

if (!is_numeric($_GET['id']) or !is_int($_GET['id']+0))

Насчет подобных проверок... поверь, я "собаку съел" на этом, писав свою библиотеку и я скажу, что на самом деле мало кто из отвечающих сразу так напишет правильный ответ =) Все существующие в PHP механизмы определения чисел, все эти фильтры и расширения для оных - крайне плохо работают.

Если вкратце, то вот метод определения целого числа. Вот метод определения с точкой. В последнем есть небольшая бага, но в целом это работает:

foreach ([
             '9223372036854775808', 9223372036854775808, // > PHP_INT_MAX + 1
             1, '10', '+1', '1.1', 1.1, .2, 2., '.2', '2.',
             '-2.', '-.2', null, [], true, false, 'string'
         ] as $value) {
    echo $value . ':' . gettype($value) . ' is Integer? - '  . (isInteger($value) ? 'yes' : 'no') . PHP_EOL;
    echo $value . ':' . gettype($value) . ' is Float? - '  . (isFloat($value) ? 'yes' : 'no') . PHP_EOL;
}

9223372036854775808:string is Integer? - yes
9223372036854775808:string is Float? - no
9.2233720368548E+18:double is Integer? - no
9.2233720368548E+18:double is Float? - yes
1:integer is Integer? - yes
1:integer is Float? - no
10:string is Integer? - yes
10:string is Float? - no
+1:string is Integer? - yes
+1:string is Float? - no
1.1:string is Integer? - no
1.1:string is Float? - yes
1.1:double is Integer? - no
1.1:double is Float? - yes
0.2:double is Integer? - no
0.2:double is Float? - yes
2:double is Integer? - no
2:double is Float? - yes
.2:string is Integer? - no
.2:string is Float? - yes
2.:string is Integer? - no
2.:string is Float? - yes
-2.:string is Integer? - no
-2.:string is Float? - yes
-.2:string is Integer? - no
-.2:string is Float? - no   <---- тут только ошибка, не починил еще
:NULL is Integer? - no
:NULL is Float? - no
Array:array is Integer? - no
Array:array is Float? - no
1:boolean is Integer? - no
1:boolean is Float? - no
:boolean is Integer? - no
:boolean is Float? - no
string:string is Integer? - no
string:string is Float? - no

Comments

[Zhainar]

По виду какая-то ересь, лучше использовать PDO

[Северное Сияние]

Zhainar, используй. Кто же тебя мешает использовать PDO, с которым из коробки работать-то невыносимо..

Answer 4

[Kerm]

Я пишу в своем коде вот так:

if ((int)$_GET['id'] > 0) {
.....
}