virgolette sui valori int in query mysql

Question

Ho preso l'abitudine di filtrare la variabile inviata dall'utente tramite la mia funzione int che si assicura che sia un numero (se non restituisce 0) e non cita la variabile nelle query mysql.

È una cattiva pratica? Penso di aver deciso di farlo per motivi di prestazioni. Inoltre ho sempre pensato che i numeri non dovrebbero essere messi tra virgolette.

Esempio:

if($perpage != $user['perpage']){ 
if($perpage == 50 || $perpage == 100 || $perpage == 200){ 
$DB->query("UPDATE users SET perpage=$perpage WHERE id=$user[id]", __FILE__, __LINE__); 
} 
} 

Answer 1

aha! un caso interessante qui!

1. Hai ragione in generale. E 'sempre meglio per trattare i numeri come numeri, non stringhe

   • rende il codice più sano e coerente
   • un ambiente strict_mode in MySQL, che non consentirà di fare mascherare un numero come una stringa, se acceso.

2. Ma la tua implementazione consente infatti un'iniezione! Lasciamo per i compiti a casa per trovarlo :)

Qui è un riferimento per voi, spiegando questa iniezione: http://php.net/language.types.type-juggling

così, mi piacerebbe fare il vostro codice come questo

$perpage = intval($perpage); 
if($perpage != $user['perpage'] && in_array($perpage,array(50,100,200) { 
    $DB->query("UPDATE users SET perpage=$perpage WHERE id=$user[id]"); 
} 

Answer 2

Fino a quando i valori sono adeguatamente controllati attraverso l'uso del metodo di intval di PHP prima di utilizzarli, non vedo un problema con esso. Potresti farti dei favori in futuro se lo facessi, se dovessi interagire con un DB che pensa che le virgolette attorno ai valori int siano un errore di sintassi. (Credo che MS SQL Server lo faccia.)