Moin,

ich mache mir gerade Gedanken darüber, wie ich für mein CMS am besten SQL-Injections verhindern kann. Momentan ist die einzige Usereingabe, die in meine SQL-Strings kommt, eine Seiten-ID, die in der URL angegeben wird. Folgende Ansätze habe ich jetzt, um Injections zu verhindern:

1. Aus dem mit GET übergebenen String mit intval() eine Integer holen und die in den SQL-String bauen
2. Mit einem regulären Ausdruck (gibt's da noch andere Möglichkeiten?) überprüfen, ob der ID-String nur Integers enthält, und - falls das nicht der Fall ist - eine Fehlermeldung ausgeben.
3. Sämtliche Seiten aus der Datenbank holen und mit foreach abgleichen, welche Seite ausgegeben werden soll

Welche dieser Methoden haltet ihr für die beste? Wie verhindert ihr SQL-Injections?