SQL инъекции

[Linel]

Чтение последних топиков вызвал у меня вопрос о SQL-инъекциях и способах защиты от них. Думаю, что эта тема актуальна, но поиск по форуму ничего толкового не дал. Поисковики тоже не помогли. В интернете есть много информации на эту тему, но разные статьи местами противоречат друг другу. Решил спросить тут, надеюсь вы поможете мне.

И так, с тем, что такое SQL-инъекции вроде разобрался. Главный вопрос - как избежать непредсказуемых последствий и защитить базу данных, обезопасив свой проект?

Со случаем, когда методом $_POST или $_GET должны передаваться значения целого типа вроде всё ясно. Во всех статьях дан чётко поставленный ответ - надо приводить преданную информацию к типу "integer", например:

(int)$variable или settype($variable, "integer"), где $variable - наша переменная.

А вот что делать в случае, когда необходимо получить информацию типа "string" и произвести над ней определённые действия (добавить/прочитать из базы данных, обновить и т.д.)?

Нигде вразумительного ответа на этот вопрос я не нашёл. Надеюсь, вы поможете.

[Jensi]

Нужно фильтровать данные, передаваемые через URL.
Почитать можно тут: http://beneto.ru/showcat.php?c=35
Хочу заметить, на сайте есть $_GET['c'] ( смотрим на URL ),там стоят только числа, вот тебе и нужно написать регулярное выражение,которое будет проверять, только числа там или ещё что-то
Способов много
p.s.: сайт мой, тестить с URL или чем-то другим не получится, всё закрыто

[Dj_smart]

Jensi прав, копай в сторону рег. выражений.

PHP код:

if (preg_match('/\W/',$per_value)) {
   // сказать что ошибка
   exit;
} 


Этот код допускает к инпуту только наглийские буквы, цифры и знак "_" по-моему.

[Mixail]

Дополню выше пример если нужно русские, английские и пунктуация, тогда

Код:

if (preg_match('/[-a-zА-Яа-Я_=\,\.\?]+/i',$per_value))
   //True
else
   //False;