应该在MySQL查询中引用来自用户输入的数字以帮助避免SQL注入攻击？

Question

应该在MySQL查询中引用来自用户输入的数字以帮助避免SQL注入攻击？

说我有一个页面上的表格，要求某人的年龄。他们进入他们的年龄，并提交。与表单提交下面的PHP代码的交易：（年龄在db表的int域）。

$Number = mysqli_real_escape_string($dbc, $_POST["age"]); 
$Query = "INSERT INTO details (age) VALUES ($Number)"; 
$Result = mysqli_query($dbc, $Query); 

取而代之的是，在那里可以得到的，以封闭在单引号用户输入任何东西，即使它不是一个字符串？像这样：

... 
$Query = "INSERT INTO details (age) VALUES ('$Number')"; <-- quotes 
... 

如何执行SELECT？是这样的：

$ID = mysqli_real_escape_string($dbc, $_POST["id"]); 
$Query = "SELECT * FROM users WHERE id = $ID";  <-- no quotes 
$Result = mysqli_query($dbc, $Query); 

---

注：

$ID = mysqli_real_escape_string($dbc, $_POST["id"]); 
$Query = "SELECT * FROM users WHERE id = '$ID'"; 
$Result = mysqli_query($dbc, $Query); 

不比我知道准备的语句，通常使用它们在字符串连接，但是这是遗留代码我处理。我想尽可能保证它的安全。

Answer 1

如果添加数字，请使用intval/floatval函数，请勿使用mysql_real_escape_string。

对于您使用mysql_real_escape_string的一切，你必须使用引号，例如：

$input = "foo'bar"; 
$input = mysql_real_escape_string($input); 
//foo\'bar 
mysql_query("SELECT $input"); 
//SELECT foo\'bar 
//which is still an SQL syntax error. 

Answer 2

你真的要使用sprintf，即使在遗留代码中需要2分钟修改，在我看来完全值得的时间。

从php.net无耻扯下：

// Formulate Query 
// This is the best way to perform an SQL query 
// For more examples, see mysql_real_escape_string() 
$query = sprintf("SELECT firstname, lastname, address, age FROM friends 
       WHERE firstname='%s' AND lastname='%s'", 
       mysql_real_escape_string($firstname), 
       mysql_real_escape_string($lastname)); 

// Perform Query 
$result = mysql_query($query); 

您的查询已经非常安全，从被传递了错误的类型到它的领域和转义caracters。

Answer 3

你应该使用PHP的过滤器和过滤的号码 - 即使是范围，正则表达式;具有默认值，NULL上故障等

http://hu.php.net/manual/en/ref.filter.php

如果值来自请求变量，例如$ _POST，请参阅：

http://hu.php.net/manual/en/function.filter-input.php