對於數位型SQL注入如何攔截？驗證是否為數字能否有效？

Question

測試在sql查詢中加上了單雙引號一樣能進行sql注入。

如題，假設驗證參數是否為數字能否進行攔截SQL注入？

if (!is_numeric($id)) {
exit('非法'); 
        }

使用如此驗證測試中已經無法進行SQL注入，但是這樣是絕對安全的嗎？

小白求助。

Answer 1

使用框架的sql語句封裝方法，框架為你做好了防sql注入，等自己知識經驗夠了，再去研究這些