Imprimir Página - Escapar integer con "(int)" para mysql

Título: Escapar integer con "(int)" para mysql_query
Publicado por: Skeletron en 7 Febrero 2012, 21:31 PM

Hola gente.
Cuando sabemos que una variable va a tener solamente valores NUMERICOS. es suficiente hacer: (int) antes de la variable? o es necesario escribir el "mysql_real_escape_string"???

o sea, esto es valido y 100% seguro?:
mysql_query("SELECT * FROM personas WHERE id_persona = '".(int)$id."'");

Título: Re: Escapar integer con "(int)" para mysql_query
Publicado por: #!drvy en 7 Febrero 2012, 21:34 PM

Teóricamente si. Porque int es lo que dice... integer, convierte cualquier cosa a un entero xD.

PD: Otra cosa es que dicho numero sea -2 en vez de 2 xD.

Saludos

Título: Re: Escapar integer con "(int)" para mysql_query
Publicado por: 2Fac3R en 8 Febrero 2012, 04:06 AM

Aparte de lo que te han dicho, se podria hacer que se tome el tipo de variable ( gettype() ) y con condicionales (un if, por ejemplo) haga X en caso de ser entero, sino...Y.

Podria ser otra opcion.
Zalu2

Título: Re: Escapar integer con "(int)" para mysql_query
Publicado por: Skeletron en 8 Febrero 2012, 04:17 AM

Pero antes de hacer tantas cosas, hago el: mysql_real_escape_string().
Yo siempre quería saber si con (int) ya esquivo los SQL Inyection.

Gracias :)

Título: Re: Escapar integer con "(int)" para mysql_query
Publicado por: 2Fac3R en 8 Febrero 2012, 05:56 AM

Cita de: Skeletron en 8 Febrero 2012, 04:17 AM
Yo siempre quería saber si con (int) ya esquivo los SQL Inyection.

Si lo que se quiere es un dato entero, el (int) te servira perfecto para las SQLi ;)
Zalu2

Test Foro de elhacker.net SMF 2.1

Programación => Desarrollo Web => PHP => Mensaje iniciado por: Skeletron en 7 Febrero 2012, 21:31 PM