Sarabande.jp: PHP 公式マニュアルにおける SQL インジェクションと PDO の数値の型指定のサンプルコード
PHP 公式マニュアルの SQL インジェクションのページには数値の扱い方がきちんと明記されている。
アプリケーションが、数値入力を期待している場合、データを is_numeric() で検証するか、 settype() により暗黙の型変換を行うか、 sprintf()により数値表現を使用することを検討してみてください。サンプルコードも掲載されている。
settype($order, 'integer'); $query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET...