Я использую php и запускаю sql-запросы на сервере mysql. чтобы предотвратить инъекции sql, я использую mysql_real_escape_string.
я также использую (int) для приведения чисел следующим образом:
$desired_age = 12;
$query = "select id from users where (age > ".(int)$desired_age.")";
$result = mysql_query($query);
та работа.
Но когда переменная содержит большие числа, их приведение не выполняется, поскольку они больше, чем int.
$user_id = 5633847511239487;
$query = "select age from users where (id = ".(int)$user_id.")";
$result = mysql_query($query);
// this will not produce the desired result,
// since the user_id is actually being cast to int
Есть ли другой способ приведения большого числа (например, BIGINT), кроме использования mysql_real_escape_string, когда дело доходит до предотвращения внедрения SQL?