прекарване на число през intval floatval is_numeric

[PROKLET]

ако прекарвам всяко число през тези 3-те
intval(); floatval(); is_numeric();

ще ме хакнат ли ?

 

[lam3r4370]

само intval ти стига

 

[PROKLET]

ами когато имам

mysql_query("SELECT user FROM test WHERE id = '$id'")

това ID какво да го минавам

 

[purko]

Мен ако питате и $string = (int) $string;
пак стига :wink:

 

[lam3r4370]

Дали е число intval не става ли

 

[PROKLET]

Дали е число intval не става ли

не те разбрах

 

[lam3r4370]

Проверявай дали $id е число с intval.Това ти стига

 

[PROKLET]

$gd = intval($_GET['id']);
$q = mysql_query("SELECT * FROM forum_topics where fid='intval($gd);'") or die (mysql_error());

така ли ще стане

 

[purko]

Ето така е достатъчно
$gd = (int) $_GET['id'];
$q = mysql_query("SELECT * FROM forum_topics where fid='$gd'") or die (mysql_error());

 

[PROKLET]

е интвал не е ли по надежно от int

 

[iwanov]

Ето така е достатъчно
$gd = (int) $_GET['id'];
$q = mysql_query("SELECT * FROM forum_topics where fid='$gd'") or die (mysql_error());

Какво прави това (int) ?
http://ar.php.net/manual-lookup.php?pattern=int&lang=en


http://ar.php.net/manual/en/function.intval.php

 

[PROKLET]

1.
ахам intval си е най-добре значи ама ак ого мина и със ис нумерик?

2.

$gd =$_GET['id'];
$q = mysql_query("SELECT * FROM forum_topics where fid='$gd'") or die (mysql_error());

или без променлива е по добре ?

$q = mysql_query("SELECT * FROM forum_topics where id='$id'") or die (mysql_error());

с променлива или без е по сигурно

 

[lam3r4370]

както и да е няма смисъл от ис нумерик intval ти стига.Без променлива откъде ще вземеш $id?

 

[purko]

http://web-tourist.net/login/login/view.php?st=2418

Ето оттук видях (int)... Не е ли правилно?

 

[alex95_bg_2]

$id = intval(floatval(is_numeric(addslashes(htmlspecialchars(mysql_real_escape_string(mysql_escape_string(ctype_digit((int)$_GET['id']))))))));

(int) преубразува в тип число, същото като intval
И само това т итрябва, какти ти е написал lam3r4370

 

[PROKLET]

еми аз имам news/category/music ето това ми е много трудно да го защитя
нито intval нито нищо не важи за това с текст? как да го защотя

 

[alex95_bg_2]

mysql_real_escape_string

 

[iwanov]

Разбира се че е по добре с $gd =$_GET['id'];
Сега се позагледах в урока и разбрах за int ,НО към автора на тема му препорървам да прочете и коментарите към урока, там пише доста полезни неща които е добре да се знае и относно int погледнете на jooorooo коментара.

 

[PROKLET]

mysql_real_escape_string

аха и освен това може ли да се направи примерно ако думата я няма в база данни а покаже няма таква категория


IWANOV ще погледна

 

[purko]

Разбира се че е по добре с $gd =$_GET['id'];
Сега се позагледах в урока и разбрах за int ,НО към автора на тема му препорървам да прочете и коментарите към урока, там пише доста полезни неща които е добре да се знае и относно int погледнете на jooorooo коментара.

Е да де ама както е в функцията не реже информациято и си работи :wink:
А аз между другото използвам регулярен израз за защита

function simvoli($promenliva){
	if (ereg('[^a-zA-Z[:space:]0-9_.,:;*()!/?-]', $promenliva)) {
		return true;
	} else {
		return false;
	}
}

Като не позволявам в полетата да се пишат други символи освен тези, които съм дал.
Не става ли и така :wink: