Как правильно валидировать запросы Http запросы php?

Question

[Alexander]

Не хочу учиться писать говнокод, так что хочу научиться верно валидировать запросы php.

Первое что пришло на ум (код в контроллере):

//В начале контролера прописывается правило, которое описывает какие данные нужно ожидать и в каком виде (integer string...)
//Длинное название, лишь чтоб вы поняли что она делает. Остальные переменные не попадут в контейнер
Client::waitRequestByRule( 
 'POST' => array('somefield' => 'rules'),
 'GET'  => array('somefield' => 'rules')
); //При успешной проверке, из данных переменных будет создан контейнер
//Проверка. Получен ли запрос, соответствующий правилам
if(Cliend::requestValid()) {
$data = Client::getRequestContainer() // Получение контейнера валидированых данных
}

Второй вариант - формировать общий массив данных из $_FILES,_POST,_GET,_COOKIE
И при обработке этих данных, валидировать, выдавая пользователю ошибки если таковы будут.

$data = Client::request();
$somefield = $data['GET']['somefield'];
if(Data::validate($somefield, 'rule')) return true;

Как правильнее. И насколько плох первый вариант?

Answer 1

[Алексей Скобкин]

По вашему коду мне показалось, что вы смешиваете обработку запросов с ответами, роутинг и валидацию данных.

Второй вариант - формировать общий массив данных из $_FILES,_POST,_GET,_COOKIE

Вообще, $_COOKIE, $_POST и $_GET и так формируют $_REQUEST. Но это не очень хорошая мысль, на самом деле.
Более правильным решением обработки запросов будет что-то типа PSR-7 или Symfony HttpFoundation.
Для валидации и роутинга опять же можно посмотреть на примеры из Symfony: Routing, Validator.
Правда, судя по вашему коду, вы под валидацией именно роутинг и подразумевали.

Comments

[Alexander]

Я не умею выражать мысли. Проще говоря так. Я хочу знать, где лучше проводить валидацию входящих данных, чтобы защититься от XSS?
Допустим отправляется запрос example.com/news?act=edit&id=1
В контроллере news я получаю данные запроса через класс client (не напрямую через $_GET). Client класс при инициализации создает контейнер данных, которые пришли от клиента.

Вот мне интересно, фильтровать данные непосредственно в Client class (в случае получения данных, непрошедших валидацию выкидывает исключение). Или же освободить класс от ответственности за валидацию данных и проверять их вручную в коде модели?

[Алексей Скобкин]

Я хочу знать, где лучше проводить валидацию входящих данных, чтобы защититься от XSS?

Валидация - это не про XSS. Чтобы XSS не было - нужно безопасно выводить данные (санитизировать). Например, в Twig по умолчанию все специальные сущности выводятся как HTML-коды.

Вот мне интересно, фильтровать данные непосредственно в Client class (в случае получения данных, непрошедших валидацию выкидывает исключение). Или же освободить класс от ответственности за валидацию данных и проверять их вручную в коде модели?

Вообще данные обычно пишут в БД как есть (естественно, используя подготовленные запросы, биндинг параметров и прочие вещи, которые обезопашивают работу с БД. А вот уже вывод "очищают", если вам так угодно.

[Алексей Скобкин]

Alexander: Ну и да, вероятнее всего, вашему классу Client ничего не должно быть известно о способах "очистки" данных.

[Alexander]

Алексей Скобкин: Вы ответили на все мои вопросы. Спасибо