技術標籤：sql integer字置為空

請寫一個函式來檢查使用者提交的資料是否為整數（不區分資料型別，可以為二進位制、八進位制、十進位制、十六進位制數字）

1.is_integer 是 is_int() 的別名，是一樣的

2.is_int/is_integer主要是判斷變數是否 是整數型別，其他型別是false

3.is_numeric 檢測變數是否為數字或數字字串

$input ='12';//負整數
echo is_numeric( $input ) ?'ok':'no'; //ok 
echo is_int( $input ) ?'ok':'no';     //no

if(!is_numeric($input)||strpos($jp_total,".")!==false){  

    echo "不是整數";  

}else{  

    echo "是整數";  

}
 

is_numeric會引起sql注入問題

$s = is_numeric($_GET['s'])?$_GET['s']:0;
$sql="insert into test(type)values($s);";//是 values($s) 不是values('$s')
mysql_query($sql)

上面這個片段程式是判斷引數s是否為數字，是則返回數字，不是則返回0，然後帶入資料庫查詢。（這樣就構造不了sql語句）

我們把‘1 or 1’ 轉換為16進位制 0x31206f722031 為s引數的值

程式執行後，我們查詢資料庫看看，如下圖：

如果再重新查詢這個表的欄位出來，不做過濾帶入另一個SQL語句，將會造成2次注入.

總結

儘量不要使用這函式，如果要使用這個函式，建議使用規範的sql語句,條件加入單引號，這樣16進位制0x31206f722031就會在資料庫裡顯示出來。而不會出現1 or 1。