Как вы обрабатываете GET запросы?

Question

[Username]

Допустим на странице index.php, может быть максимум два запроса либо index.php?category=1 или index.php?category=1&id=1.
Как я реализую:
Сначала делаю проверку, потом вывожу. Но что-то мне подсказывает, что это неверное спасение от SQL инъекций.

include 'config.php';
    
    function checked($cat, $id) {
        if (!is_numeric($cat)) {
            header( 'Refresh: 0; url=/404.html' );
            exit(0);
        }
        
        $query = mysql_query('SELECT COUNT(*) FROM category WHERE id='.$cat.'');        
        $pol = mysql_fetch_array($query);
        if ($pol[0] == 0) {
            header( 'Refresh: 0; url=/404.html' );
            exit(0);
        }
        
        if ($id > 0) {
            if (!is_numeric($id)) {
                header( 'Refresh: 0; url=/404.html' );
                exit(0);
            }
            
            $query = mysql_query('SELECT COUNT(*) FROM materials WHERE id='.$id.' AND id_category='.$cat.'');       
            $pol = mysql_fetch_array($query);
            if ($pol[0] == 0) {
                header( 'Refresh: 0; url=/404.html' );
                exit(0);
            }
        }
    }
    
    if (empty($_GET['category']) && empty($_GET['id'])) {
        //Вывод всех категорий
    } else if (isset($_GET['category']) && empty($_GET['id'])) {
        checked($_GET['category'], 0);
        //Вывод конкретной категории
        
    } else if (isset($_GET['category']) && isset($_GET['id'])) {
        checked($_GET['category'], $_GET['id']);
        //Вывод конкретного материала
    }

Answer 1

[D']

Ужс..
Это даже не индусокод...

Используй type cast (int) + mysqli + prepared statements.

Убери эту лапшу из if'ов.
Просто используй:

$category_id = (int)arr_get($_GET, 'category', 1);
$id = (int)arr_get($_GET, 'id', 0);

function arr_get(array $array, $key, $default = null) {
    return isset($array[$key]) ? $array[$key] : $default;
}

Comments

[trevoga_su]

$category_id = (int)arr_get($_GET, 'category', 1); - не менее индус-код.
$default выкинуть нафиг. никаких дефаултов тут быть не должно. это не зона ответственности данной функции.
должно быть так:

$var = get('category', 'int');
$var = post('id', 'string');

второй параметр - санитарная обработка. у меня так во фрейморке сделано: https://github.com/Vasiliy-Makogon/ADV/blob/master...

[D']

trevoga_su: ой вей.. Вот только давай не будем, а? arr_get универсальная функция, которую можно использовать с любым массивом. И $default - очень даже ее отвественность. Твои get/post с передачей типов - как раз таки не к месту. Приведение типов тут вообще ни к селу, ни к городу. Этим функциям вообще должно быть наплевать что и куда они возвращают.

А твой код я даже коментировать не буду.. Начиная с названия класса в стиле PHP4, и заканчивая голой статикой и коментариям на русском.

[D']

trevoga_su:
public static function get($array, $key, $default = null)
{
if (is_null($key)) {
return $array;
}

if (isset($array[$key])) {
return $array[$key];
}

foreach (explode('.', $key) as $segment) {
if (! is_array($array) || ! array_key_exists($segment, $array)) {
return value($default);
}

$array = $array[$segment];
}

return $array;
}

Вот тебе пример из Laravel, та же самая array_get с обработкой dot notation. Или Taylor тоже говнокодер и не знает что $default ну вообще не нужен?

[Виталий Хоменко]

> второй параметр - санитарная обработка
> И $default - очень даже ее отвественность

Мне кажется и дефолтное значение, и санитаризация, очень упростят задачу и позволят сделают функционал очень гибким. Просто обе эти возможности должны быть опциональными.

Абстрактно:
->get( 'param' );
->get( 'param', [] );
->get( 'param', $default, ...::TYPE_INT );

[Виталий Хоменко]

Забыл прикрепить уведомление. D' Normalization trevoga_su

[D']

Виталий Хоменко: мой пример касается просто взятия данных из массива. Не нужно туда левый функционал приплетать. Если мне понадобиться дополнительно обработать данные, я сделаю это по другому.

[Виталий Хоменко]

D' Normalization: Да, конечно, ваше право.

[Username]

D' Normalization: Окей, как грамотно оформить код, и чем говонокод отличается от обычного, лаконичностью? И есть грамотные стать по созданию сайта?

[D']

Username: грамотный код отличается отсутствием:
- Давно уже deprecated функций
- Лапши
- Вывода header где-то в глубине функций
- подстановки параметров напрямую в sql

Это только по этому участку кода. Я даже боюсь представить что там еще есть.
Статьи не знаю. Смотрите как делают другие, откройте исходники любого фреймворка и вперед.

[trevoga_su]

D' Normalization: > Начиная с названия класса в стиле PHP4
Прекрасно работающий способ автозагрузки. Что не устраивает?

> и заканчивая голой статикой
Это лишь функция, она не используется в клиентском коде. В клиентском коде все иначе:
$this->getRequest()->getRequest('id', 'decimal');

> и коментариям на русском
да вот делать мне нечего больше, что бы извращаться и писать комментарии на английском.

[trevoga_su]

D' Normalization: > Вот тебе пример из Laravel, та же самая array_get с обработкой dot notation. Или Taylor тоже говнокодер и не знает что $default ну вообще не нужен?

Ларавел - истина в последней инстанции?
Да плевать я хотел на Ларавел, класс/функция обрабатывающая значения запросов не должны знать что-то о дефолных значениях клиентского кода. Это не их зона ответственности. Учи ООП.

[Username]

D' Normalization: И ещё пару вопросов. Лучше использовать одну точку входа на сайт? И как избавиться от огромной развилки?

[D']

trevoga_su: ууу как все запущенно. Ну если ты считаешь говнокодом код, которым пользуются тысячи разработчиков, то у меня для тебя плохие новости...
Хотя что можно ожидать от человека, который до сих пор не использует неймспейсы? Великий гуру ООП.

Username: что значит лучше? Лучше когда один роутер, который рулит всеми запросами.

[Username]

D' Normalization: Как избавиться от развилок?

[D']

Username: что такое "развилка"

[Username]

D' Normalization: if else

[D']

Username: зависит от кода. Менять логику так, чтобы не было подобной лапши.