Mazytes pagalbos su php $_GET

Sveiki, turiu toki adresa index.php?id=8&lang=en .

Naudojant toki koda:

$id = stripinput($_GET["id"]);
$lang = htmlspecialchars($_GET["lang"]);

nepaima tu reiksmsiu 8 ir en, kaip reiktu vartoti GET, kad tas reiksmes paimtu?

$id = stripinput($_GET["id"]);

matomai neturi tokios funkcijos, tai gali pakeist tiesiog taip:

$id = (int)$_GET["id"];

arba prisideti sia funkcija

function stripinput($text) {
$search = array("\"", "'", "\\", '\"', "\'", "<", ">", " ", "*", "SELECT", "WHERE", "FROM", "DROP", "TABLE", "UNION", "=", "OR", "AND", "select", "where", "from", "drop", "table", "union", "or", "and");
 $replace = array("", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "");
   $text = str_replace($search, $replace, $text);
   return $text;
}

$id = stripinput($_GET["id"]);

matomai neturi tokios funkcijos, tai gali pakeist tiesiog taip:

$id = (int)$_GET["id"];

arba prisideti sia funkcija

function stripinput($text) {
$search = array("\"", "'", "\\", '\"', "\'", "<", ">", " ", "*", "SELECT", "WHERE", "FROM", "DROP", "TABLE", "UNION", "=", "OR", "AND", "select", "where", "from", "drop", "table", "union", "or", "and");
 $replace = array("", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "");
   $text = str_replace($search, $replace, $text);
   return $text;
}

Seip dėl įdomumo kodėl naudoji $replace array? nepaprasčiau butu pridėti "" ir viskas?

Seip dėl įdomumo kodėl naudoji $replace array? nepaprasčiau butu pridėti "" ir viskas?

žinoma, tu teisus, tačiau temos autorius pamatys, kad nereikalingus žodžius/simbolius galima keisti į skirtingus variantus. Tikriausiai pats, būčiau rašęs su kabutėmis, bet kadangi f-ją ištraukiau iš googlės, ir pamačiau tokį variantą, tai ir palikau :)

Labai dekui, viskas veikia :)

$id = stripinput($_GET["id"]);

matomai neturi tokios funkcijos, tai gali pakeist tiesiog taip:

$id = (int)$_GET["id"];

arba prisideti sia funkcija

function stripinput($text) {
$search = array("\"", "'", "\\", '\"', "\'", "<", ">", " ", "*", "SELECT", "WHERE", "FROM", "DROP", "TABLE", "UNION", "=", "OR", "AND", "select", "where", "from", "drop", "table", "union", "or", "and");
 $replace = array("", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "");
   $text = str_replace($search, $replace, $text);
   return $text;
}

Dėdulyt, nė velnio neapsauganti funkcija. Galiu parašyti:

SeLeCT FrOm lentele wHErE ...

ir nepakeis :) Nereik išradinėt dviračio, jei kiši į mysql - tai PDO arba mysql_real_escape_string, jei outputini į html - special chars. Ir aišku, jei reikalingas int, tai į jį ir castini. Vsio :)

Dėdulyt, nė velnio neapsauganti funkcija. Galiu parašyti:

SeLeCT FrOm lentele wHErE ...

ir nepakeis :) Nereik išradinėt dviračio, jei kiši į mysql - tai PDO arba mysql_real_escape_string, jei outputini į html - special chars. Ir aišku, jei reikalingas int, tai į jį ir castini. Vsio :)

na nereikia, juk sakiau, kad googlėj šitą susiradau ir pateikiau kaip alternatyvą(kadangi jo variante ji jau naudojama). kadangi id yra skaičius, tai pirmu numeriu be jokių escape užteks (int).