Форумы портала PHP.SU :: Версия для печати :: Как правильно обробатывать входные данные.

Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Как правильно обробатывать входные данные.

Форумы портала PHP.SU » » Вопросы новичков » Как правильно обробатывать входные данные.

Страниц (1): [1]

1. Doox911 - 20 Марта, 2018 - 16:23:12 - перейти к сообщению

Как правильно обработать входные данные чтобы не получить инъекцию или другие типы взломов.

PHP:
скопировать код в буфер обмена

 
$options['name'] = htmlspecialchars(strip_tags($_POST['name']));
 

или

PHP:
скопировать код в буфер обмена

 
$options['name'] = strip_tags($_POST['name']);
$options['name'] = htmlspecialchars($options['name']);

Я думаю, что это аналогично. А как думаете вы?

2. andrewkard - 20 Марта, 2018 - 16:29:45 - перейти к сообщению

Doox911 пишет:

Как правильно обработать входные данные

проверить регулярным выражением или по белому списку, кроме того использовать подготовленные запросы, и, перед выводом на страницу прогнать через htmlspecialchars (на всякий случай)

3. Doox911 - 20 Марта, 2018 - 16:37:53 - перейти к сообщению

andrewkard пишет:

Doox911 пишет:

Как правильно обработать входные данные

проверить регулярным выражением или по белому списку, кроме того использовать подготовленные запросы, и, перед выводом на страницу прогнать через htmlspecialchars_decode (на всякий случай)

А что такое "БЕЛЫЙ СПИСОК"?
Подготовленные запросы это что? Я применяю PDO. Методами прогоняю.
А с точки зрения применений выше указанных функций, то и то эквивалентно?
На стороне клиента мне понятно. Там в формах + JS. Но их JS можно отключить. А формы переписать и отправить.

4. andrewkard - 20 Марта, 2018 - 16:42:56 - перейти к сообщению

Белый список, это список возможных значений.

Подготовленные запросы: http://php.net/manual/ru/pdo.prepare.php

Doox911 пишет:

А с точки зрения применений выше указанных функций, то и то эквивалентно?

да
(Добавление)
ну и по факту это не спасает от инъекции