Я только что заметил, что если я сделаю запрос MySQL следующим образом:
SELECT 1 FROM myTable WHERE id = 'asdf' Затем строка 'asdf' отбрасывается до 0 . Это означает, что у меня есть запись с id 0 будет соответствовать. Формат поля id – int(8).
Каков наилучший способ:
0 ? (Плохо) Сначала вы должны дезинфицировать свои входы через PHP.
$id = 'asdf'; if(is_numeric($id)){ $query("SELECT 1 FROM myTable WHERE id = $id"); }else{ die("ID is not numeric"); }
Или вы можете сделать:
SELECT 1 FROM myTable WHERE id = 'asdf' AND 'asdf' REGEXP '^-?[0-9]+$'
Это вызовет регулярное выражение = false, в результате чего строки не возвращаются.
Просто напишите свои запросы, чтобы они не использовали числовые поля, как если бы они были текстовыми.
Если id – числовое поле, то предложение where никогда не может быть полезным. Да, было бы хорошо, если бы MySQL активно жаловался на это, но в принципе вы не должны писать код, который запускает плохие запросы для начала.
Как этот запрос попал в вашу систему? Является ли 'asdf' частью прямого ввода пользователем? Можете ли вы использовать параметризованный SQL вместо этого?
Если вы действительно хотите запросить числовое поле, вы должны убедиться, что ваш ввод сначала является числовым. Преобразуйте текст в целое число в код вызова, а не в базу данных.
Поскольку pdo подготовил операторы, связываясь с правильными типами, не будет возникать никаких ошибок (кроме случаев, когда включен строгий режим mysql ), ваш единственный выбор – обеспечить и контролировать типы ваших переменных внутри вашего php, чтобы «исправить» допустимость этих языков.
[спасибо комментаторам]