Witam, mam takie zapytanie

[PHP] pobierz, plaintext 
$profil = $_GET['profil'];
 
$fotka = $_GET['fotka'];
 
 
if(strlen($profil) <= 15 && strlen($fotka) <=4){
 
	$stmt = $pdo->prepare("SELECT * FROM profil WHERE id = :id"); 
	$stmt->bindParam(':id', $profil, PDO::PARAM_INT);
	$stmt->execute(); 
	$kod = $stmt->fetch();
 
}
[PHP] pobierz, plaintext 

i zauwazyłem, ze nie ma roznicy czy zmienie PARM_STR na INT. jak zmienna profil = "lol" to wypisze ja z bazy, a jak nazywa sie 222 to również wypisze. Co robię nie tak i jak zrobić żeby to filtrowanie zaczęło wypisywać mi tylko inty?

Nie wiem czego oczekujesz ale jedyne co to robi, to konwertuje bool na long. Rzutuj to na int $profil = (int) $_GET['profil']; albo zrób poprawną walidację.

Bidnowanie z tego co pamiętam powoduje że mysql robi castowanie na okreslony typ. Więc wpisując `lol` jako parametr dla INT spowoduje że MySQL zrobi CAST do wartości numerycznej. Ręki nie dam sobie uciąć za to.

Dzieki. myslalem, ze to jest do filtrowania zmiennych. Czyli musze robić (int) $_GET['profil'].

A jak zrobic prawidłową walidacje? o co w ogole chodzi?

Warto sobie dodać, ja zawsze zapominam.
https://github.com/php/php-src/blob/a7fe257...pdo_stmt.c#L305

https://prophp.pl/advice/show/25/jak_zabezp...ql_injection%3F
Akurat w tym wypadku rzutowanie wystarczy ale możesz sprawdzić np regexpem czy podana wartość to [1-9][0-9]*