Evitando Ataques por Tipagem Dinâmica

O PHP é muito flexível, não há a necessidade de declarar o tipo da variável ao iniciá-la. Uma variável pode ser iniciada em qualquer parte do código podendo atingir diversos tipos dentro do seu escopo. Então seria interessante tipar (fazer um cast) dos dados recebidos do usuário por exemplo os recebidos do formulário de login. Por exemplo:


<?php
$id= $_GET['id'];
?> 


Dessa forma, a variável $id está recebendo os dados direto do GET sem tratamento algum, então não poderiamos nos assegurar do tipo dessa variável. O correto seria tratar esses dados, assim:


<?php
$codigo = (int)$_GET['codigo'];
?>

Dessa forma fizemos um cast podendo assegurar que o tipo da variável $id será um inteiro.
Se não fizessemos isto um atacante poderia inserir uma string contendo comandos SQL ou JavaScript, forçando o sistema a executá-los, comprometendo fortemente a segurança do sistema do banco de dados.