Обработка большого числа $_POST

Question

[Severovostok]

Привет. Имеется БД с большим количеством колонок (а именно 36). Мне надо INSERT-тить туда данные которые приходят с $_POST запросом. Среди данных которые пришли с $_POST запросом есть обязательные (без которых я не смогу записать их в БД, т.к есть в них необходимость) и не обязательные (т.е дополнительная информация и если не внесу их в БД ничего страшного).

Вопрос собственно в слудующем, как осуществить наиболее эффективную проверку всего, что пришло мне $_POST. Сейчас я делаю следующее:

cоздал 2 массива (один с обязательными наименованиями колонок БД $base_key и другой со всеми $all_keys)

foreach -ом прогоняю весь пришедший $_POST и проверяю ключ на наличие в указанных выше массивах, а значение на не empty и все что проходит валидацию я добавляю к $into_sql

foreach($_POST as $key=>$value){
    if(!empty($value) && in_array(strtoupper($key), $all_keys)) {
        if(array_key_exists(strtoupper($key), $base_keys)) {$base_counter++; //считает количество обязательных колонок}
            $into_sql .= "`".$key."`='".$this->db->safeSQL($value)."', ";
        }
    }

if($base_counter >= sizeOf($base_keys)){

    $this->db->query("INSERT INTO `some_table` ".$into_sql." SERVER_DATE=NOW()");       
 }

В принципе все работает, как мне надо, единственное хотелось бы узнать у проффесионалов насколько эффективен данный код с точки зрения безопастности, скорости и надежности и есть ли более правильный вариант(или варианты)

Answer 1

[egorinsk]

Я бы убрал strtoupper. Он не нужен. Если программист на клиентсайде перепутал большие буквы с маленькими — пусть исправляет ошибку сам, а не скрипт за него это делает.

Собирать запрос к БД руками — неуклюже. Я бы свалил все в массив, и передал через плейсхолдеры вроде execute(«INSERT INTO ?table (?#) VALUES (?a)», $table, array_keys($data), array_values($data))

В остальном нормальный код, выполняющий свои функции. Хотя, конечно, кто-то предложит для этих целей сделать модели, репозитории, unit-of-work и что там еще придумал Мартин Фаулер для этих целей.

Если вам интересно, как это можно сделать сложнее, почитайте мануалы к любому фреймворку типа Yii или Zend или Symfony или Ruby on Rails или Джанго. Там вам расскажут про модели, валидаторы, хранилища, бекенды, слои абстракции и прочие умности.

И да, все эти ORM и фреймворки для PHP тяжелые, уродливые, и сам язык, из-за того что при каждом запросе надо инициализировать приложение заново, не позволяет их сделать нормальными, так что с точки зрения производительности лучше писать все руками.

Но я бы такой код писать не стал, так как мне надо, чтобы свойства модели и полей формы для ее модификации хранились в одном месте, а не были раскиданы по HTML-коду, яваскриптам и PHP-обработчикам. Забудешь же потом, где что менять, когда захочется например изменить лейбл у поля ввода. Также, ваш код не умеет ни делать валидацию переданных данных (передавай что хочешь — все запишет в БД), ни маппинг/сериализацию/джейсонизацию, а мне надо, чтобы все это было.

Comments

[egorinsk]

Да, хочу еще сказать про особенности ООП в PHP. многие программисты, вдохновляясь языками типа Java, начинают делать каждую сущность отдельным классом, а то и деревом классов. Банальный токенайзер/лексер для какого-нибудь шаблонизатора делают так, что на каждый токен делают по классу (правильно: надо делать все одним монолитным классом и на регулярках). В ORM делают кучу классов только для того, чтобы сформировать запрос на выборку (Criteria), делая каждую операцию отдельным классом. У формы каждое поле делают отдельным классом.

Слышал, особо ненормальные пишут порты LINQ на PHP. Лишь бы array_map/array_filter не использовать.

Это, конечно, красивый подход, и он хорошо смотрелся бы в каком-нибудь Си++, в котором компилятор на раз перемалывает любое дерево классов в машинный код, но в PHP это не работает. Загрузка классов в PHP медленная, вызов лишних методов — медленный, в итоге получаются монстры типа Doctrine или Zend, с кучей мертвого кода и адскими тормозами. При этом еще и теряются все преимущества динамического языка и скорость разработки.

Поэтому все эти товарищи, которые для такой простой задачи предлагают привлекать какие-то итераторы, на мой взгляд, занимаются ерундой. В PHP есть foreach. Хотите писать функциональщину — идите используйте Haskell или LINQ в дотнете, а к нам с этой ересью лезть не надо.

[Severovostok]

спасибо Вам. Все обязательно учту. Только скажите, пожалуйста, вы написали «ваш код не умеет ни делать валидацию переданных данных». Я проверяю все данные на существование и делаю проверку. Не могли бы мне явно указать, что и как следует мне проверять.

[egorinsk]

Например, проверку, что в качестве возраста в анкете указано число от 1 до 200, а не набор букв (если у вас есть поле с возрастом).

[Severovostok]

А понятно. Спасибо.

Answer 2

[dxArtem]

Появилась очень классная функция.

www.php.net/manual/en/function.filter-input-array.php

/* data actually came from POST
$_POST = array(
    'product_id'    => 'libgd<script>',
    'component'     => '10',
    'versions'      => '2.0.33',
    'testscalar'    => array('2', '23', '10', '12'),
    'testarray'     => '2',
);
*/

$args = array(
    'product_id'   => FILTER_SANITIZE_ENCODED,
    'component'    => array('filter'    => FILTER_VALIDATE_INT,
                            'flags'     => FILTER_REQUIRE_ARRAY, 
                            'options'   => array('min_range' => 1, 'max_range' => 10)
                           ),
    'versions'     => FILTER_SANITIZE_ENCODED,
    'doesnotexist' => FILTER_VALIDATE_INT,
    'testscalar'   => array(
                            'filter' => FILTER_VALIDATE_INT,
                            'flags'  => FILTER_REQUIRE_SCALAR,
                           ),
    'testarray'    => array(
                            'filter' => FILTER_VALIDATE_INT,
                            'flags'  => FILTER_REQUIRE_ARRAY,
                           )

);

$myinputs = filter_input_array(INPUT_POST, $args);

Answer 3

[Mikhail Osher]

www.php.net/manual/en/class.filteriterator.php
www.php.net/manual/en/class.callbackfilteriterator.php

Comments

[Mikhail Osher]

И да, пользуйтесь PDO.

[Severovostok]

Спасибо. Насчет PDO знаю, он и будет. Это временная мера.

[Severovostok]

скажите, пожалуйста, а в чем преимущество указанных вами классов, в методе, который использовал я. Всмысле, я это спрашиваю, чтоб знать преимущества. Просто использовать класс, там где можно обойтись функцией, я думаю очень часто бывает более эффективно.

[Severovostok]

Простите, опечатался. «использовать класс, там где можно обойтись функцией, я думаю очень часто бывает менее эффективно».

[EugeneOZ]

Нет ничего более постоянного, чем временные решения.

[EugeneOZ]

На практике Вы никогда не заметите разницы в производительности между классом и функцией. Если Вы ищите разницу в производительности на таком уровне — PHP это не тот язык, смотрите на компилируемые.

[Severovostok]

Спасибо, буду иметь ввиду.

Answer 4

[CrazySquirrel]

Для таких вещей используються схемы данных.

Если ORM позволяет, схему можно получить от DB, и закешировать. Позволит избежать изменений в двух местах, при изменении структуры DB.

Comments

[Severovostok]

А с точки зрения быстродействия и безопастности, будет ли эффективно получать схему от DB и кешировать?

[egorinsk]

В любом нормальном фреймворке схема БД строится на основании описания модели, а не наоборот.

Answer 5

[Severovostok]

Отсюда, понятно, что лучше на хабре вопросы не задавать, потому что количество одаренных не большое и те заняты делом, пишут статьи и отвечают на вопросы новичков, а кучка у которых есть кнопки и которые без надобности их используют (читай мудаки). Интересно однако, совсем другое, за что минус ставите, хоть напишите в комментарии, коль уж ответа написать не можете. И дело вовсе не в карме, а в людях или мудаках (каждый сам знает кто он), которые знаниями не обладают и поста не одного полезного не написали, а шутливыми комментариями набрали баллы.

Comments

[Genome_X]

Не переживайте так. Блаженных дурачков везде хватает, а дурачки с возможностью влиять на что (в нашем случае, кнопочками) это еще смешнее, у них писька от этого растет, поэтому они этим пользуются так часто.
Задавайте смело свои вопросы и получайте ответы, нормальные люди зайдут и постараются вам помоч.
Ну и да, хабра не единственный ресурс где можно спрашивать, посмотрите в поиске тематические ресурсы, типа javascript.ru для скриптов, и соответствующие для остальных тематик.

Удачи!

[Severovostok]

Спасибо Вам за теплые слова. Я с Вами согласен (и я наверно несколько погорячился), просто на этот вопрос и на другой, который я перенес в черновики, чтоб не минусовали, хотя проблема которая там очень актуальна, а этот вопрос был, чтоб узнать мнение профессионалов и я не нашел удовлетворяющего ответа на свои вопросы на том же хешкоде (ресурс который как и хабр я очень люблю и регулярно читаю)

Answer 6

[EugeneOZ]

«без которых я не смогу записать их в БД, т.к выставлено значение not null» — сможете записать, not null не обязывает заполнять. Будет просто 0 в цифровом или пустая строка в строковом поле.

Comments

[Severovostok]

Вы правы конечно же, я не правильно написал. Я имел ввиду, без этих данных мне нет смысла вносить в БД. Наличие этих данных необходимо.

Answer 7

[Severovostok]

спасибо.