[PHP]&[MySQL] - Zapytanie z $_GET, Kwestia bezpieczeństwa Opcje

[-Wieviór-]

Powiedzmy, że mam stronę www.strona.pl/pokazuzytkownika.php?id=7645

Jego dane wyczytuję z bazy poprzez zapytanie z WHERE id = $_GET[id]. Wszystko ładnie, tylko pozostaje kwestia bezpieczeństwa, bo przecież w tego $_GET'a sporo można sobie wpisać, UNION jakiś czy coś.

Czytałem na stronie głównej artykuł o tym i powoli usuwam luki z zabezpieczeniach:

[PHP] pobierz, plaintext 
<?php
$striped = strip_tags ($_POST[id]);
$gotowy = mysql_real_escape_string ($striped);
$sql = "SELECT * FROM uzytkownicy WHERE id = '".$gotowy."'";
?>
[PHP] pobierz, plaintext 

Czy to wystarczy, i czy w ogóle dobrze robię?

Ten post edytował Wieviór 23.09.2007, 12:13:30

[batman]

Tak, takie coś powinno wystarczyć, jednak pamiętaj, że skoro potrzebujesz id, to nie baw się w usuwanie tagów, itp, lecz od razu przejdź do rzeczy. Możesz sprawdzić przy pomocy is_numeric, czy zmienna jest liczbą lub zrzutowac przy pomocy (int).

[PHP] pobierz, plaintext 
<?php
// przyklad 1
if(is_numeric($_GET['id'])) {
	// select ...
}
 
// przyklad 2
$sql = 'select * from tabela where id = '.(int)$_GET['id'];
?>
[PHP] pobierz, plaintext