Sicurezza PHP - (int) vs FILTER_VALIDATE_INT

Question

Recentemente mi è stato detto che vi è FILTER_VALIDATE_INT che è molto utile.

La mia domanda è in termini di prendere un valore intero dal sito Web sia esso proveniente dall'utente o generato dall'applicazione web e passato tramite stringa di query.

Il valore (numero intero) può essere visualizzato o utilizzato nella query mysql.

Sto cercando di strutturare il miglior metodo di sicurezza possibile per questo.

Con questo in mente, è sicuro di usare semplicemente

$myNum = (int)$_GET['num']; 

O

if (filter_var($_GET['num'], FILTER_VALIDATE_INT)) $myNum = $_GET['num']; 

Inoltre, si prega di spiegare qual è la differenza tra l'utilizzo di (int) e FILTER_VALIDATE_INT

Answer 1

La differenza è che un cast a int ti darà sempre un int, che può essere o non essere l'originale valore. Per esempio. (int)'foobar' risultati nello int0. Questo lo rende sicuro per la maggior parte degli scopi SQL, ma non ha nulla a che fare con il valore originale e non lo saprai nemmeno.

filter_var con FILTER_VALIDATE_INTdice voi se il valore è un int, in base al quale si può prendere la decisione di utilizzarlo in una query SQL o visualizzare un messaggio di errore per l'utente.

Answer 2

<input type="text" name="param"></input> 


$price = filter_input(INPUT_POST, 'param', FILTER_VALIDATE_INT); 
if ($price !== false) { 
print " a number."; //works when value is number 
} 


if(is_int($_POST['param'])){ 
    print "is number."; //don't works when value is number 
} 

Si prega di provare con quando il valore è numero.