Hallo!
Ich habe ein Frage, die mich seit Tagen beschäftigt. Ich überprüfe meine Eingaben zum Beispiel so:
Nun ist hier das Problem, das ich hier keinen Filter nutze und keine Filterung stattfindet. Das heißt, die id könnte auch ein string sein, was zum Beispiel ein SQL-Stück beinhaltet.
Aber!
Diese id landet bei mir in einer Funktion/Methode, wie:
Die Frage ist, muss ich jetzt trotzdem einen Filter anwenden, oder nicht? Ich meine nicht, weil meine Funktion foo nur eine id vom typ int annehmen kann, und ein string läuft ins leere.
Denke ich das richtig? Oder ist es doch Falsch? Filter sollten immer gemacht sein. Fakt ist ja auch das prepared-statements nicht immer vor SQL-Injections schützen, was ich auch nur verwende.
MfG und danke für die Antworten
Ich habe ein Frage, die mich seit Tagen beschäftigt. Ich überprüfe meine Eingaben zum Beispiel so:
PHP-Code:
$id = filter_input(INPUT_POST, 'id');
Aber!
Diese id landet bei mir in einer Funktion/Methode, wie:
PHP-Code:
function foo(int $id)
{
// do something ...
}
Denke ich das richtig? Oder ist es doch Falsch? Filter sollten immer gemacht sein. Fakt ist ja auch das prepared-statements nicht immer vor SQL-Injections schützen, was ich auch nur verwende.
MfG und danke für die Antworten
Kommentar