sql integer字置為空_請寫一個函式來檢查使用者提交的資料是否為整數
阿新 • • 發佈:2020-12-21
技術標籤:sql integer字置為空
請寫一個函式來檢查使用者提交的資料是否為整數(不區分資料型別,可以為二進位制、八進位制、十進位制、十六進位制數字)
1.is_integer 是 is_int() 的別名,是一樣的
2.is_int/is_integer主要是判斷變數是否 是整數型別,其他型別是false
3.is_numeric 檢測變數是否為數字或數字字串
$input ='12';//負整數
echo is_numeric( $input ) ?'ok':'no'; //ok
echo is_int( $input ) ?'ok':'no'; //no
if(!is_numeric($input)||strpos($jp_total,".")!==false){ echo "不是整數"; }else{ echo "是整數"; }
is_numeric會引起sql注入問題
$s = is_numeric($_GET['s'])?$_GET['s']:0;
$sql="insert into test(type)values($s);";//是 values($s) 不是values('$s')
mysql_query($sql)
上面這個片段程式是判斷引數s是否為數字,是則返回數字,不是則返回0,然後帶入資料庫查詢。(這樣就構造不了sql語句)
我們把‘1 or 1’ 轉換為16進位制 0x31206f722031 為s引數的值
程式執行後,我們查詢資料庫看看,如下圖:
如果再重新查詢這個表的欄位出來,不做過濾帶入另一個SQL語句,將會造成2次注入.
總結
儘量不要使用這函式,如果要使用這個函式,建議使用規範的sql語句,條件加入單引號,這樣16進位制0x31206f722031就會在資料庫裡顯示出來。而不會出現1 or 1。