Sécurité d'entrée avec "(int)" en PHP?

Il est "sûr", selon ce que vous voulez faire. Il ne permettra que la variable à un entier aussi loin que l'utilisation de la mémoire PHP S est concernée. Il permettra des entiers négatifs.

L'utilisation de int code> est pour le type Aspoque Strike> Casting, comme

php -r "var_dump( (int) '123d');"
>>> int(123)

php -r "var_dump( (int) '-123d');"
>>> int(-123)

php -r "var_dump( (int) '<script>alert(false)</script>');"
>>> int(0) (xss, no problem)

pour (int) dans PHP:

decimal     : [1-9][0-9]*
            | 0

hexadecimal : 0[xX][0-9a-fA-F]+

octal       : 0[0-7]+

binary      : 0b[01]+

integer     : [+-]?decimal
            | [+-]?hexadecimal
            | [+-]?octal
            | [+-]?binary           

En supposant que vous signiez sûr en termes de injection SQL ou xss attaque , alors probablement oui. Casting vers un INT ne garantit que la valeur est un entier. Un entier n'est pas généralement dangereux dans n'importe quel contexte. Cela ne garantit pas la sécurité de la valeur en Integer . Il peut être 0 , qui peut avoir ou non une signification particulière dans votre code, par exemple lors de la comparaison de false . Ou il peut être négatif, lequel, à nouveau, peut ne pas avoir d'effets secondaires dans votre code.

"Sécurité" n'est pas une chose absolue. La chaîne "1 = 1; Les utilisateurs de table de dépose" par lui-même sont jolis coffre-fort aussi. Cela dépend du contexte que vous utilisez. Juste la même chose, un 0 est parfaitement sûr jusqu'à ce que votre code inclue si (! $ Numéro de numéro) Supprimerlus (); .