Различные вопросы по PHP и MySQL

Просто здесь в двиге подсмотрел авторизацию так там при подстановке в запрос $_SESSION['id'] все-таки обрабатывается int-ом и эт меня еще больше запутало хх

Конечно фильтруется на int ведь id может быть лишь числом. Я вообще параноик и делаю все возможные проверки. Фильтры никогда не бывают лишними. Фильтруй всё всегда и везде. Если приходят только целые числа делай (int). Особенно фильтруй то, что пишешь в базу на защиту от sqlinject и вообще данные от xss, например. Пользователь всегда враг, это аксиома и первое правило пэхэпэ программиста.

SlyDeath, я вот вчера подумала... предположим имею поле в таблице типа инт, что бы я в эту таблицу не передала, текст или число, все равно пишется число... на крайняк ноль так зачем мы фильтруем числа? если поле текстовое и туда пишем число, то ясно, а если числовое?...

Jane (05.06.2012/13:22)
SlyDeath, я вот вчера подумала... предположим имею поле в таблице типа инт, что бы я в эту таблицу не передала, текст или число, все равно пишется число... на крайняк ноль так зачем мы фильтруем

Simba (05.06.2012/13:41)
Даже если типа не будет у поля это не спасет от инъекций.

просто хочется глубже понять это... на каком этапе это происходит, в момент добавления в базу, но записывается в поле все равно инфа типа поля?

а, не надо объяснять, туплю че-та

Jane (05.06.2012/13:50)
просто хочется глубже понять это... на каком этапе это происходит, в момент добавления в базу, но записывается в поле все равно инфа типа поля?

dakilla, а что мешает в сессию ложить число, без сериализа? сессия читается по куке, содержимое файла через фтп, если тебя поломают только, то тайное станет явным, фильтр обязателен

Koenig, в пpинципe ничeгo нe мeшaeт мoжнo и бeз ceppиaлизa )) тoльko вoт пoлyчaeтcя мeняю "шило нa мыло" в oднoм cлyчae тpeбyeтcя 2 шaблонa, в дpyгoм пo 2 пpoвepkи нa пocт и нa ceccии