Нужна ли проверка входящих данных?

Question

[Алексей]

Всем привет! При использовании авторизации через социальные сети, я получаю вот такой URL

http://mysite/index.php?do=auth_social&provider=vk&code=8f4b84sdfgsb55a0c0

Далее, я использую параметр $_GET['code'] в следующем запросе к социальной сети.
Вопрос, нужно ли применять какие-то проверки к этому параметру вроде: strip_tags(addslashes($_GET['code'])) ?

Comments

[litvin2]

Евгений, чего конкретно ты боишься при получении ответа от сервера ВК?

Answer 1

[Uwe_Boll]

проверять нужно все и всегда

Answer 2

[Mikhail Osher]

Я бы валидировал по preg_match - /^[a-z0-9]+$/
Если еще точно знать, что должна быть 18-символьная строка:
/^[a-z0-9]{18}$/

Comments

[Алексей]

id можно и intval, но что делать с именем, там, на сколько я знаю разрещаются любые символы, вплоть до сердечек и т.д. как с ними работать?

Answer 3

[Алексей Скобкин]

Конечно же нет, ведь авторы социальной сети - порядочные люди!

Comments

[Алексей]

Я про то, что этот $_GET['code'] нигде не использую, кроме как отправляю данные снова на их сервер, не сохраняю, не обращаюсь а просто тупо переношу в новый URL

[Алексей Скобкин]

Евгений: Допустим, сейчас не используете. А захотите использовать и забудете, что не фильтровали - красота будет. Ну или ещё что-нибудь непредвиденное случится. Ведь все неприятные пограничные ситуации обычно непредсказуемы. Поэтому "лучше перебдеть, чем недобдеть". Производительность у вас от фильтрации не упадёт.
Ну и вообще, если пользуетесь сырым PHP без фреймворков - посмотрите в сторону получения переменных через filter_input() хотя бы. А лично я бы взял Symfony HttpFoundation за основу.