Örnek bir betik:
$kid = $_GET["id"];
if (is_numeric($kid)){
$sorgu1 = $db->prepare('SELECT * FROM urunler WHERE kategori_id ='.$kid);
$sorgu1->execute();
$sonuc = $sorgu1->fetchAll(PDO::FETCH_ASSOC);}
?>
Php "is_numeric" Güvenilirliği |
5 Mesajlar | 859 Okunma | ||
- Üyelik 21.10.2018
- Yaş/Cinsiyet 29 / E
- Meslek Öğrenci
- Konum İstanbul Anadolu
- Ad Soyad A** T**
- Mesajlar 67
- Beğeniler 52 / 29
- Ticaret 0, (%0)
Phpde kullanıcıdan id veya rakamsal herhangi bir ifade alırken is_numeric'den geçiriyorum. Sizce bu fonksiyon olduğu halde sql injection oluşturulabilir mi? İnternette pek bişey göremedim.
Örnek bir betik:
Örnek bir betik:
- Üyelik 29.10.2016
- Yaş/Cinsiyet 32 / E
- Meslek Öğretmen
- Konum Konya
- Ad Soyad O** K**
- Mesajlar 1116
- Beğeniler 499 / 498
- Ticaret 16, (%100)
get için tek sayı kontrolü yeterli değil, html,script ve php kodlarını da engellemniz gerekiyor. Bu kontrolleri sağladıysanız şu fonksiyonu da kullanarak tam sayı kontrolünü de yapabilirsiniz.
is_int($_GET["id"])
- Üyelik 23.11.2015
- Yaş/Cinsiyet 29 / E
- Meslek Front-End Developer
- Konum Bursa
- Ad Soyad N** K**
- Mesajlar 311
- Beğeniler 8 / 81
- Ticaret 0, (%0)
HTML, Javascript ve PHP kodlarını da engellediğinizi düşünürsek, is_numeric yeterlidir.
- Üyelik 13.01.2017
- Yaş/Cinsiyet 32 / E
- Meslek Yazılım
- Konum Trabzon
- Ad Soyad B** M**
- Mesajlar 2773
- Beğeniler 293 / 949
- Ticaret 33, (%100)
if (int($sayi) > 0) şeklinde de yapılabilir. Genelde böyle kontrol ediliyor.
- Üyelik 19.07.2012
- Yaş/Cinsiyet 44 / E
- Meslek ...
- Konum Diğer
- Ad Soyad .** .**
- Mesajlar 148
- Beğeniler 1 / 40
- Ticaret 2, (%100)
$data = [ 'ali' , 3.14 , 9 ] ;
foreach ( $data as $value ) {
/**
* preg_match fonksiyonundan dönen değer sıfırdan büyükse,
* giriş değeri sayısal olarak kabul edebilirsin.
*/
var_dump ( $value , 0 < preg_match ( '/^[0-9]+$/u' , $value ) ) ;
}
Çevrimiçi çalıştırabileceğin hali -> https://3v4l.org/VXM0F
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)