4
is_numericはSQLインジェクション攻撃を阻止するのに十分だと私は安全に仮定できますか(私がちょうどID番号を取得していれば)?またはis_numericを通過できるSQLインジェクションメソッドがありますか?は、SQLインジェクションがis_numeric関数を介して可能性がありますか?
A
答えて
5
が務めだけを行うには:あなたはis_numeric機能のオーバーヘッドを回避することができ
$id = isset($_GET['id']) ? (int) $_GET['id'] : 0;
この方法です。どちらの方法でも注射を避けるのに十分です(ただし、is_numericがFALSEを返した場合は、データに対して何かを行う限り)。三項演算子はまた、問題の$ _GET変数が存在しない場合、E_NOTICEを受け取らないようにします。
+0
関数呼び出しのオーバーヘッドを三項演算子と比較してどれだけ高いかを記述できますか? – KingCrunch
+0
@ KingCrunch:必ずしもこのメソッドを使用する必要はありません。入力を検証する機会はありません。 –
+0
@KingCrunch私は 'オーバーヘッド'引数が宗教的なオタク戦争を開始することができます知っているが、私は不必要な関数呼び出しを避けることがこれまで悪いことができないか見ていない。 – rdlowrey
3
intvalまたはfloatvalを使用できます。あなたがより良いだろう
3
いいえ、ありません。しかし、例えばis_numeric('0xaf5') == trueということを思い出させてください。それで、あなたが達成したいことに応じて十分ではないかもしれません。
関連する問題
- 1. WindowsアプリケーションがSQLインジェクションに脆弱である可能性があります
- 2. チェックボックスを使用したSQLインジェクションの可能性はありますか?
- 3. dataadapterです。 SQLインジェクションに脆弱性がありますか?
- 4. 内部で関数を介してfirebase adminにアクセスする可能性はありますか?
- 5. 私のサイトはSQLインジェクションの脆弱性があります。
- 6. オブジェクトが関数内のパラメータである可能性はありますか?
- 7. 外部キーが列ではなくSQL関数である可能性はありますか?
- 8. Haskellで関数が変わっている可能性があります
- 9. 行数が異なる可能性がありますか?
- 10. NullPointerExceptionがInheritableThreadLocalに関連している可能性があります
- 11. SQLインジェクションを引き起こす可能性のある文字を削除する関数
- 12. ドッカーデーモンが起動している可能性があります
- 13. SQL-Plusファイルx.sqlからPL/SQLの問題を呼び出すと、関数my_functionが関数ではない可能性があります。
- 14. メモリリークの可能性があります。
- 15. 可能性がありますssh_exchange_identificationエラー
- 16. Oracle:PL/SQL関数から何も返さない可能性がありますか?
- 17. メモリアクセスに問題がある可能性がありますか?
- 18. Rails Spreeのデバッグ。データベース関連の可能性があります
- 19. スタックサイズやオーバーフローの可能性があるメソッドが多すぎる可能性はありますか?
- 20. テーブルのSQL Serverフィールドが空である可能性があります
- 21. ImageViewがNullを返す可能性がありますか?
- 22. .htaccessがループを起こす可能性がありますか?
- 23. Redisはデータを失う可能性がありますか?
- 24. where joinはnullがあり、count()= 0の可能性がありますか?
- 25. Delphi DLLがアンロードされていない可能性があります.GDIがまだ割り当てられている可能性があります。
- 26. SQL要求の可読性。 SQLリクエストでネストされた関数の数に上限がありますか?
- 27. volttron.platform.vip.agent.coreエラー:矛盾している可能性があります
- 28. 精度が低下する可能性はありますか?
- 29. データベースが破損する可能性はありますか?
- 30. Enumが肥大化する可能性がありますか?
おそらく安全です。しかし、これはプリペイド・ステートメント(PDO)の使用を避ける理由ではありません。 –