Можно ли прикрутить нативную функцию?

Question

[defmin]

private function clearVars(mixed $source): mixed
{
    if (is_array($source)) {

        foreach ($source as $key => $value) {
            $source[$key] = $this->clearVars($value);
        }
    }

    if (is_object($source)) {

        foreach ($source as $property => $value) {
            $source->{$property} = $this->clearVars($value);
        }
    }

    return is_string($source) ? htmlspecialchars($source) : $source;
}

Есть мнение, что всё это поделие можно заменить на array_walk_recursive.

Правильно ли такое мнение и если это так, то как это всё тогда будет выглядеть?

Я пробую, но получаю ошибку:

$array = [
    'a' => [
        'b' => '<script>alert("XSS")</script>'
    ]
]; // останется ли после array_walk_recursive структура 'a' => ['b' => '<script>alert("XSS")</script>']?

array_walk_recursive($array, 'htmlspecialchars'); //  htmlspecialchars(): Argument #2 ($flags) must be of type int, string given

var_dump($array);

И ещё вопрос: разве после array_walk_recursive сохранится структура массива (мне нужно сохранение структуры массива)?

Answer 1

[smilingcheater]

array_walk_recursive($array, fn (&$val) => $val = htmlspecialchars($val));

1. в callback-функцию передаётся 2 параметра (значение и ключ), но htmlspecialchars вторым параметром принимает флаги, а не ключи массива. Поэтому искусственно передаём только один.
2. array_walk сам по себе не меняет значения, поэтому передаёт значения по ссылке (&)

Comments

[smilingcheater]

defmin, сами решайте, зависит от ваших входных данных и необходимого результата. Либо без проверки, либо с ней. Либо принудительное приведение к строке (string)$val.

[Ипатьев]

defmin, осталось ответить себе на вопрос, а зачем вам int, если при выводе в HTML он всё равно превратится в строку.

[Ипатьев]

Чтобы не переживать о таких вещах, этой функции вообще не должно быть. Она сама по себе вредная, и вы с ней ещё намучаетесь.Экранировать надо каждое значение отдельно, а не все скопом.

Answer 2

[Ипатьев]

Можно, но не нужно.

Функция, которая пытается проискейпить все данные скопом сама по себе не нужна. Каждое значение надо форматировать отдельно.
И уж тем более функция, которая портит исходные данные. Представим, что одну и ту же информацию мы отправляем по емейлу, и в СМС. Сначала проискейпим HTML для шаблона письма, а потом эти же данные отправим в SMS... И там будут эти "
И уж тем более функция, которой требуется доступ к свойству объекта на запись, который далеко не всегда есть.

Comments

[Ипатьев]

Я не вижу здесь ничего нового, таких рендереров каждый пишет по 5 штук, пока учится. Только более универсальные, чтобы можно было рендерить и емейлы например, а не только страницы сайта.
Но потом это всё выкидывается и человек переходит на Twig, в котором каждое значение искейпится отдельно, и все эти извращения не нужны

[Ипатьев]

Синдром гениальности. Понимаю. Это тоже было у всех :)

[Ипатьев]

всё решается без всяких твигов

Я, собственно, об этом говорил. Ваш код (и подход), несомненно, гениальнее. Впрочем, не будем углубляться.