PHP 从 $_GET 中检索整数值

Question

考虑一下以下情况。

www.example.com/post.php?delete=3

上面生成的链接会删除 id 为 3 的帖子。你可以想象，我会像这样检索 id：

$id = (int) $_GET['delete']; //casting to int to make sure that 
                             //the value is an integer - is  
                             //it safe enough?
if($user->isAdmin()) {

  //proceed with deletion from database - SQL queries, etc

}

我的问题：简单地将 $_GET 值转换为整数并完成它是否安全？我知道我们不应该将 GET 数据用于与数据库相关的操作，但总是这样吗？ （假设isAdmin() 方法正确地检查了当前用户是否是管理员）。

这种$_GET 数据使用关于安全性的可能警告是什么？

Answer 1

不，这不安全。

问题不在于值的转换，而是使用GET 而不是POST。如果您将链接用于删除选项，并且您的一位管理员使用例如安装了 fasterfox 扩展的 firefox，则所有链接都将被预取，从而有效地清除您的数据库或其中的一部分，具体取决于您显示的链接数量.

虽然我不认为链接预取很常见，但您确实应该使用POST 来避免它对您的系统造成的问题。

如果你不使用链接，切换到POST 会更容易，所以真的没有理由不这样做。

顺便说一句，如果你是paranoid over security，我假设你已经使用了准备好的语句，所以转换为int 无论如何都不会有太大的不同。

Answer 2

你的具体方法的安全性很好。

通过强制转换，您将输入限制为特定类型，这可以防止出现缺陷，假设您的系统不会在“-1”上中断，并且当您将“恶意软件”强制转换为 int 时 PHP 不会爆炸。

你看过 filter_var 吗？如果您有最新版本的 php，这也可以让您验证变量（除 int 和 int 范围之外的类型）。