Gli indirizzi IP devono essere convalidati per impedire l'SQL Injection?

È necessario utilizzare istruzioni preparate per evitare iniezioni SQL. Dai un'occhiata a questa domanda .

Tuttavia, $_SERVER['REMOTE_ADDR'] dovrebbe essere un indirizzo IP valido come proviene dal server, come verificato dall'handshake TCP. Vedi questa domanda per una discussione estesa su questo.

Da questa pagina sembra che l'elemento REMOTE_ADDR dell'array $ _SERVER sia popolato da il server invece di essere passato dal client, quindi dovrebbe (assenti eventuali bug) essere un presupposto ragionevole che sia l'indirizzo IP del client remoto (o un server proxy che agisce per conto del client remoto).

Come @ Lucb1e ha commentato di seguito alcuni elementi dell'array $ _SERVER provengono dal client e dovrebbero essere meno attendibili

Come @Oleksi menziona non fidarsi dell'input alle query SQL è una buona idea in generale.

REMOTE_ADDR è determinato dallo stack TCP ricevente - non sono i dati "inviati" dal client. Né IPv4 né ipv6 utilizzano caratteri che sono espressioni non sicure / delimitate in SQL.

Tuttavia, la memorizzazione dell'indirizzo IP (ad es. xxx.xxx.xxx.xxx o xxxx: xxxx: xxxx: xxxx) xxxx: xxxx) è molto più semplice e il valore numerico è molto più utile e richiede meno spazio di memorizzazione - consultare il manuale per le funzioni inet_aton () e inet6_aton ().