Я разрабатываю простое приложение базы данных PHP для внутреннего использования, но хотел бы закодировать его в соответствии с передовыми методами. Некоторые из моих страниц получают целые значения из запросов GET, и мне просто интересно, сколько действительно требуется проверки и очистки.
В настоящее время я использую $num = filter_input(INPUT_GET, 'num', FILTER_VALIDATE_INT, $num_options);
с указанными минимальными и максимальными значениями. Отсюда я выхожу с сообщением об ошибке, если $num == false
Нужно ли также использовать $mysqli->real_escape_string($num);
В настоящее время я не беспокоюсь, потому что думаю, что сделать SQL-инъекцию с использованием целого числа довольно сложно...
Спасибо,
Кевин
ОБНОВЛЕНИЕ: чтобы уточнить запрос, который я делаю, выглядит так
$sql = "SELECT employeeID, concat(FirstName, ' ', LastName) as Name FROM employee WHERE employeeID='$num'";