Цитата:зачем там регулярки? если будет непробельный символ проверка сработает а одними пробелами какая иньекция?
Рег-ка для проверки типа.
Если это строка то через intval привести к int и сувать в запрос.
Иначе escape_string строку в кавычки и в запрос.
Все это для автоматической очистки параметра перед добавкой в sql запрос.
Чтоб рег-но не юзать escape_string, шаблоны(mysqli::prepare) не подходят. Т.к запрос динамически составляется.
Цитата:лично я проверяю на >0
То есть полученную переменную из вне сразу так проверяете? (Отредактировано автором: 10 Апреля, 2013 - 23:53:44)
|