Вопрос говорит обо всем, надеюсь, если я проверю, что переменная возвращает истину для is_numeric (), можно ли вводить ее непосредственно в запрос MySQL или мне нужно применить стандартное экранирование ? Я думаю о нулевом символе, эксплойтах переполнения и прочем.
Неоднозначный пример:
if(is_numeric($_GET['user_id'])) {
mysql_query("SELECT * FROM `users` WHERE id = ".$_GET['user_id']);
}
Тип данных в MySQL - INT ().