سلام من توی صفحاتم مقدار id رو که عدد هست رو انتقال می دهم با get میخواستم بینم از مقدار Get رو با این کد




preg_replace("/[^0-9]/","", $_GET['id']);


فیلتر کنم دیگه امکان sql injection نیست ؟

این کد بهتر نیست این الان به ذهنم رسید



function onlyint($put) {

$put = preg_replace("/[^0-9]/","", $put);

$put = (int) $put;
return $put;

}



این بهتر هست؟

همون یه int باید کافی باشه


(int)$_get["id"]

از تابعis_numeric هم میتونی استفاده کنی.

function escape1($values) {
if(is_array($values)) {
$values = array_map('escape', $values);
} else {
/* Quote if not integer */
if ( !is_numeric($values) || $values{0} == '0' ) {
$values = "'" .mysql_real_escape_string($values) . "'";
}
}
return $values;
}

من فکر میکنم نیازی به این همه کد نیست تابع is_numeric خودش همه ی این کارا رو میکنه . میتونید باهاش بررسی کنید که مقدار داده شده به id عدد هست یا نه؟