mysql is_numeric sql injection

Question

私のWebページにはページがあります。だから、私は改ページからのポストを持っている場合は、私のクエリに行を追加する：

$q=""; 
if(isset($_POST["inpi"])){ 
    $in = $_POST["inpi"]; 
    if(is_numeric($in)){ 
     $q = "and c.id < '$in'"; // add this to mysql 
    } 
    else{die("something is wrong!");} 
} 

だから私はここにたstatmentsを準備し使用することはできません。

select k.user, c.id, c.from, c.sent, c.message, c.recd from chat c 
inner join cadastro k on c.from=k.id 
where `from`=? and `to`=? $q 

予告$ qを変数のポストが空かと<「内の$」をc.idであれば、それは何の価値もありません。

十分に安全ですか？あなたが行くとこのようにそれを構築するよう

Answer 1

あなたは常に引数を蓄積することができます

$query = "SELECT ... WHERE `from`=? AND `to`=?"; 
$binds = array("ss", &$from, &$to); 

if (isset($_POST["inpi"])) { 
    $query .= " AND c.id < ?"; 

    $$binds[0] .= "i"; 
    $binds[] = &$_POST["inpi"]; 
} 

$stmt = $mysqli->prepare($query); 

call_user_func_array(array($stmt, 'bind_param'), $binds); 

私はこれをテストしていませんが、それは、this codeに基づいていると動作するようにいくつかの調整が必要な場合があります。

PDOの​​関数は、arrayをまっすぐに扱うので、操作が簡単です。