Bonjour,

J'aimerais savoir si le casting en int (en PHP) protège complètement contre les injections sql? Voici un exemple de ce que je veux dire:

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
$var = (int)$_GET['var'];
mysql_query("SELECT pass FROM comptes WHERE id={$var} LIMIT 1;");
Est-ce qu'il y a un moyen qu'une personne puisse jouer un peu avec la method GET et contourner la sécurité du PHP (en profitant d'une faille PHP par exemple: avec des caractères spéciaux %00, etc) pour que $var finisse par contenir du text qui vise à s'introduire dans ma requête SQL ?

La façon dont j'ai écris le code, est-elle bien sécurisée? Pas besoin de mysql_real_escape_string() dans ces cas là?