Имена участников (разделяйте запятой).
Тем самым - ограничиваешь числовую переменную определёнными числами - метод твой воспримет строку "123ывфывфывфыв" как число 123 (а между тем это...
Есть золотое правило, всегда делать проверку на входе, а не на выходе. Т.е всегда думать что вышестоящие методы не делали проверку. (даже если...
Не понимаешь именно ты. $start = ctype_digit(@$_GET['start']) ? $_GET['start'] : 0; $limit = 100; $sql "SELECT .................. LIMIT $start,...
А я говорю что она нужна, вместо (int)$_POST['int'] и "защищает" она точно также, только лучше. Хорошо, никто не будет, но рано или поздно сайт...
Меня не пугают, просто форум перестанет работать корректно при таком количестве сообщений, вот и все дела... (конечно форумы с 2млрд сообщений...
Если в $_POST именно число (так как проверка правильности уже пройдена) 1000 а не 1000' or 1=1 Нафига что-либо защищать ??? какой смысл в строке...
Вот ты и запутался, запости этот запрос в мускул, и посмотри что будет занесено в БД (что именно будет там храниться) Только упрости его, запроси...
Потому что это не нужно !!!! Я проверяю что там число, я проверяю что оно число, и что это число, а потом запрашиваю БД, без возможности...
Я нет... Был какой-то момент когда я думал что твой стаж на форуме подразумевает умение читать, но в принципе подозревал что будет как всегда...
ДА Любой язык программирования предсказуем, я в 89-м году ещё таблицу умножения не знал, а на 100% мог предсказывать Бейсик Они все будут в...
1 - немало серверов крутятся на 32-х битах, иногда это даже дело принципа 2 - зачем умышленно завышать системные требования своего продукта если...
Так делают почти все я имею в виду $post=(int)$_POST['int']; даже вроде на этом форуме так сделано. Это описано в почти всех учебниках, и я против...
igordata если завяжу то строка $xxx = "insert " . (int)123 станет int-ом ?
Данные идут не в поля, а в SQL запрос, в том виде в котором они должны идти. Хоть в HEX их пиши, в итоге всё равно будет SQL запрос.
Если оно int то и приводить не надо, к SQL и прочим GET/POST данным это отношения не имеет !!!
Это значит что он существует, но к SQL а точнее к инъекциям никакого отношения он не имеет. При составлении запросов мы используем строки и их...
int вообще не из той оперы, расстреливал бы сразу... нету никакого int-а не существует просто !!!
is_numberic тоже идёт нафик... mysql_real_escape_string для своих целей подходит, а is_numberic это вообще из другой оперы !!!
Раньше делалось.. Лет 10 назад... Сейчас это делается использованием "Prepared statement"
engager представь что бывает с проктологами...