[BjörnJ]

Om det är heltal kan man köra:

PHP-kod:

$var = intval($_GET[var]); 


Om det är flyttal kan man köra floatval(). Annars alltid mysql_real_escape_string() som najk länkade till. Den senare kan användas även till numeriska värden.

En fördel med intval och floatval är om man ska använda datan på andra ställen också, och inte bara i databasanrop. Man behöver t.ex. inte använda htmlspecialchars() vid utskrift av data från intval() eller floatval().

Om man verifierar datan på något sätt (t.ex. för att se att ett formulär är rätt ifyllt) kan man i vissa fall skippa mysql_real_escape_string(), men då gäller det att man verkligen har ordentlig koll på vad man gör, och vara säker på att det inte kan leda till problem om man gör någon uppdatering av koden i framtiden.

Tänk på att all data som kommer från användaren kan vara försök till SQL-injection, inklusive bl.a. cookies och information om vilken webbläsare som används.