这样防数据库注入行吗？

yoursmile

网址类似这样：
http://www.abc.com/CJDLT.php?Class=885
http://www.abc.com/CJDLT.php

就是我希望的Class变量是数字（目前在1~4位数），或者为空

我用以下的方法来对Class进行验证，安全吗？可以避免数据库被注入吗？

$Id=!empty($_GET['Class'])?$_GET['Class']:$_POST['Class']; if ($Id != strval(intval($Id)) && !empty($Id)){     header('Location: /sorry.php'); //跳到出错页面提示;   } if (strlen($Id) >4){             header('Location: /sorry.php');             //   跳到出错页面提示;  }

wildlily980

<?php       if(is_set($_GET['class'])&&(int)$_get['class']<1000&&(int)$_get['class']>0)        $id=(int)$_get['class']; ?>

这样写更简单点。

[ 本帖最后由 wildlily980 于 2008-8-5 10:50 编辑 ]

yoursmile

谢谢wildlily980  的解答,又学了一招~

hiler

$id = intval($_GET['class']);

xdoer

$id = (int)$_GET['class'];
!$id && header('Location: /sorry.php');

je1024

!$id && header('Location: /sorry.php');
或者:
!$id || header('Location: /sorry.php');
第一次看这个用法的时候是在 php168 那里看到的...
不知道这样的用法是怎么来的呢?我只是知道这个用法,但是不知道手册上面哪里有啊...

yoursmile

谢谢关注,好思路~

yoursmile

原帖由 xdoer 于 2008-8-5 09:19 发表
$id = (int)$_GET['class'];
!$id && header('Location: /sorry.php');

原来还有更简洁的~~

yoursmile

考虑到当Class为空的时候，设置Class=1
结合上面各位的意见,我把代码改成了这样:
$Class=$_GET['Class'];
if(empty($Class)||$Class == strval(intval($Class)) && strlen($Class)<5)
$Class=$Class==""?1:$Class;
else header('Location: /sorry.php');

由于(int)$_GET['class'];使用后，发现对于"数字+字符"这样的值,仍然执行了数据库操作,很不爽,还是不用了.

[ 本帖最后由 yoursmile 于 2008-8-5 13:43 编辑 ]

xdoer

原帖由 je1024 于 2008-8-5 09:56 发表
!$id && header('Location: /sorry.php');
或者:
!$id || header('Location: /sorry.php');
第一次看这个用法的时候是在 php168 那里看到的...
不知道这样的用法是怎么来的呢 ...

手册上没有,这个无非是个变形而已...不过速度比if来得快..所以我就尽量使用这样的方式