Безопасны ли данные?

Question

[photosho]

Всем привет. Интересует следующий вопрос. На сервер через AJAX передаю HTML-код, который нужно записать в базу данных. Разумеется, строка очищается от ненужных тегов (strip_tags). Данные передаются в массиве, а HTML-строка - один из его параметров. Массив параметров на сервере получаю следующим образом:

if ($request->ajax()) {
    $params = $request->input('params');

Затем данные через модель (Eloquent) будут отправлены на сервер через простое присваивание, например:

$object->fulltext = $params['html'];

Очистка от ненужных тегов производится внутри модели. Итак, вот, какой вопрос меня интересует. Безопасно ли такое присваивание или нужно отдельно экранировать строку и производить иные действия для поддержания безопасности?

Answer 1

[Дмитрий Евграфович]

Почитайте про pdo, она защищает от инъекций. В eloquent да и наверное во всех современных ormках pdo используется. Что касается обрезания тегов - можете их по идее не обрезать и не париться по этому поводу, когда вы выводите в шаблон строки с помощью {{ }}, то все небезопасные символы экранируются.

А вообще стоит может подумать над тем, почему у вас все параметры приходят в одной куче params, а не разделены на переменные - вы валидацией параметров пользуетесь вообще?

Comments

[photosho]

Дмитрий Евграфович: Параметры приходят в массиве для удобной передачи с помощью AJAX, а так как массив именованный, и каждому параметру соответствует свое имя, то можно сказать, что это то же самое, что и набор переменных.