[英]is_numeric($str) for database queries
基本上,我的问题是,如果我有数字字符串,并且要将其与数据库进行比较,那是一种安全/安全的检查方法。 还是我应该逃避我的数字变量以及我的字符串(就像我已经这样做的那样)?
例:
<?php
$id = $_POST['id'];
if(is_numeric($id)){
//database connectivity.
}
?>
“数据库”非常笼统,因此我假设您正在使用MySQL。 只要将$id
插入查询中,就可以安全地进行转义(使用mysql_real_escape_string
或最好是准备好的语句)。
“从Tbl选择,其中Id ='”。 (int)$ _ POST ['id']。“'”
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.