前兩天朋友的一個網站上有人利用php注入提交flash游戲分數，后來找原因才發現是有一位參數沒有做數字判斷導致。

本來保存游戲分數是 game.php?ac=save&fgid=1這個形式來實現，在php網頁里面fgid直接調用，沒有做任何的過濾。很多人利用在fgid=1后面加一個字母(fgid=1a)，來實現一些非法操作。

假如  gamlist table 里面有一個游戲  fgid為102
select gname from gamelist where fgid='102′;
select gname from gamelist where fgid='102a';
這樣都可以成功的找到游戲名字gname，這就給很多人提供了可乘之機

建議大家對關鍵的參數必須做過濾。如數字正則過濾

網上用來判斷id是否為數字的方法

這兩種方法的區別是  is_numeric小數也會認為是數字，而前面正則會把小數點當作字符。

附一些常用的正則運算：

驗證數字：^[0-9]*$
驗證n位的數字：^/d{n}$
驗證至少n位數字：^/d{n,}$
驗證m-n位的數字：^/d{m,n}$
驗證零和非零開頭的數字：^(0|[1-9][0-9]*)$
驗證有兩位小數的正實數：^[0-9]+(.[0-9]{2})?$
驗證有1-3位小數的正實數：^[0-9]+(.[0-9]{1,3})?$
驗證非零的正整數：^/+?[1-9][0-9]*$
驗證非零的負整數：^/-[1-9][0-9]*$
驗證非負整數（正整數 + 0）  ^/d+$
驗證非正整數（負整數 + 0）  ^((-/d+)|(0+))$
驗證長度為3的字符：^.{3}$
驗證由26個英文字母組成的字符串：^[A-Za-z]+$
驗證由26個大寫英文字母組成的字符串：^[A-Z]+$
驗證由26個小寫英文字母組成的字符串：^[a-z]+$
驗證由數字和26個英文字母組成的字符串：^[A-Za-z0-9]+$
驗證由數字、26個英文字母或者下劃線組成的字符串：^/w+$
驗證用戶密碼:^[a-zA-Z]/w{5,17}$ 正確格式為：以字母開頭，長度在6-18之間，只能包含字符、數字和下劃線。
驗證是否含有 ^%&‘,;=?$/” 等字符：[^%&‘,;=?$/x22]+
驗證漢字：^[/u4e00-/u9fa5],{0,}$
驗證Email地址：^/w+[-+.]/w+)*@/w+([-.]/w+)*/./w+([-.]/w+)*$
驗證InternetURL：^http://([/w-]+/.)+[/w-]+(/[/w-./?%&=]*)?$ ；^[a-zA-z]+://(w+(-w+)*)(.(w+(-w+)*))*(?S*)?$
驗證電話號碼：^(/(/d{3,4}/)|/d{3,4}-)?/d{7,8}$：–正確格式為：XXXX-XXXXXXX，XXXX-XXXXXXXX，XXX-XXXXXXX，XXX-XXXXXXXX，XXXXXXX，XXXXXXXX。
驗證身份證號（15位或18位數字）：^/d{15}|/d{}18$
驗證一年的12個月：^(0?[1-9]|1[0-2])$ 正確格式為：“01”-“09”和“1”“12”
驗證一個月的31天：^((0?[1-9])|((1|2)[0-9])|30|31)$    正確格式為：01、09和1、31。
整數：^-?/d+$
非負浮點數（正浮點數 + 0）：^/d+(/./d+)?$
正浮點數   ^(([0-9]+/.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*/.[0-9]+)|([0-9]*[1-9][0-9]*))$
非正浮點數（負浮點數 + 0） ^((-/d+(/./d+)?)|(0+(/.0+)?))$
負浮點數  ^(-(([0-9]+/.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*/.[0-9]+)|([0-9]*[1-9][0-9]*)))$
浮點數  ^(-?/d+)(/./d+)?