Стоит ли удалять все символы из $_GET['submit']?

Question

[Tema Ovchinnikov]

Я новичок в php. Подскажите, нужно ли обрабатывать $_GET['submit'] ?

/index.php?search=yes&submit=Найти

работает проверка на пустоту isset(); но когда удаляю все ненужные символы проверка всегда возвращает yes, даже, если submit, но зато удаляет ненужные символы.

http://cmsreplay.ru/index.php?search=<h1>hi<%2Fh1>&submit='] ?> <?php echo 'hello'; ?>/*

<form action="index.php" method="get">
			<input type="search" name="search" placeholder="Поиск...">
			<br>
			<input type="submit" name="submit" value="Найти">
		</form>
		<?php
			if(isset($_GET['submit']))
			{
				$search = preg_replace("/[^a-z0-9]/i", "", $_GET['search']);
				echo $search;
				echo 'yes';
			}

			else
			{
				echo 'no';
			}
		?>

Comments

[FanatPHP]

ты имел в виду search, а не submit, наверное?

[Tema Ovchinnikov]

FanatPHP: да точно. submit тоже нужно обработать?

[FanatPHP]

Зачем?

[Tema Ovchinnikov]

FanatPHP: isset($_GET['submit']) туда тоже возможно вписать код наверно. '] /*

Мне только cms свою написать с нуля и публиковать статьи чтобы материал не забыть. смотрел всяких Евгениев Поповых, Русаковых перешёл постепенно на hexlet, itvdn. Сейчас остановился на Udemy https://coursehunters.net/course/udemy-php-for-beg... хоть я не знаю англ я понимаю по коду только что он делает) Я уже 3 год сайт с нуля написать хочу( Жаль алгоритмы поиска не палят только like math again

У меня плохое понимание про безопасность. Если фильтровать весь вод пользователей,
загруженные картинки, файлы, ставить заглушки если сервер неправильно настроен, закрывать файлы от прямого доступа define("TEST', TRUE) defined(TEST) or exit('Access denied!); использовать правильно pdo от mysql инъекций что у меня с ним проблемы переучиться после mysql или начальных знаний mysqli трудно. То всё равно кто-нибудь взломает. Это только базовые вещи на мой взгляд. Хотел бы я все бреши знать( Если насобирать фрагменты кода по всему интернету может получиться что нибудь сделать норм. У вас код элегантный сколько ушло времени на такой высокий уровень может вы не только php знаете но и c#, python, java, ruby?

Не подскажете возможно ли отделить html от php? Закрывать ли ?> в большинстве framework - ax и cms заметил что они не закрывают тег php. Наверно я вам надоел?

<?php

echo '<p>Hi Bro</p>';//Этим способом сейчас пользуюсь(

<p><?php echo Hi Bro; ?><p>

<p><?= Hi Bro; ?><p>

<?php
echo '<p>';?>
Hi Bro
<?php echo '</p>';?>

[FanatPHP]

Используй <p><?= "Hi Bro" ?><p>
В РНР скриптах тег закрывать не надо
Подготовленные выражения ПДО в любом случае единственно правильный способ работать с БД, так что учи.
phpfaq.ru/tech/tpl
phpfaq.ru/tech/safety
phpfaq.ru/pdo

[Tema Ovchinnikov]

FanatPHP: Спасибо огромное вам!

[Tema Ovchinnikov]

FanatPHP: доброго времени суток. Сделал на процедурном подходе пробную cms с использованием mvc. Я знаю что за рефакторинг кода платят деньги, и время свое личное тратят. Но я самоучка и у меня нет средств на это. Не могли бы вы если будет время пробежаться своим профессиональным взглядом. У меня плохо пахнущий. А у вас изящный стиль. Что можно сократить или улучшить...

//model

function get_post_old($param_name_article)
	{
		global $connect;

		$post_old = mysqli_prepare($connect, "SELECT post_id, post_title, post_description, post_keywords, post_author, post_date, post_image, post_content, post_link FROM post WHERE post_link = ? LIMIT 1");

		@mysqli_stmt_bind_param($post_old, "s", $param_name_article);

		if(!$post_old)
		{
			echo 'Ошибка таблицы!';
			//запись в логи
			exit();
		}

		if(!@mysqli_execute($post_old))
		{
			echo 'Ошибка запроса!';
			//запись в логи
			exit();
		}

		mysqli_stmt_bind_result($post_old, $post_id, $post_title, $post_description, $post_keywords, $post_author, $post_date, $post_image, $post_content, $post_link);

		while(mysqli_stmt_fetch($post_old))
		{

			$name_post_old = array
			(
				'post_id' => $post_id, 
				'post_title' => $post_title, 
				'post_description' => $post_description, 
				'post_keywords' => $post_keywords, 
				'post_author' => $post_author, 
				'post_date' => $post_date, 
				'post_image' => $post_image, 
				'post_content' => $post_content, 
				'post_link' => $post_link
			);

			$name_post_old['manth'] = mb_substr($name_post_old['post_date'], 5, 2);
			$name_post_old['manth'] = manth($name_post_old['manth']);
			$name_post_old['years'] = mb_substr($name_post_old['post_date'], 0, 4);
			$name_post_old['day'] = ltrim(mb_substr($name_post_old['post_date'], 8, 2), '0');

			$res_post_old[] = $name_post_old;
			
		}

		mysqli_stmt_close($post_old);

		return $res_post_old;
	}

//views

if($post_old)
                {
                    foreach($post_old as $name) 
                    {
                        echo '<h2>
                    <a href="'.PATH.$ref.'">'.$name['post_title'].'</a>
                </h2>
                <p class="lead">
                    by <a href="'.PATH.'">'.$name['post_author'].'</a>
                </p>
                <p><span class="glyphicon glyphicon-time"></span> Опубликовано '.$name['day'].' '.$name['manth'].' '.$name['years'].'</p>
                <hr>
                <img class="img-responsive" src="'.$name['post_image'].'" alt="">
                <hr>
                <p>'.$name['post_content'].'</p>
                 <a class="btn btn-primary" href="'.PATH.$ref.'"><span class="glyphicon glyphicon-chevron-left"></span> Назад</a>

                 <hr>';

                    }
                }

//controller

<?php
	defined('NAMESITE') or die('Access denied');

	ob_start();
    session_start();

	require_once MODEL;

	$top_menu = get_top_menu();
	$sidebar_category = get_sidebar_category();
	$post_all = get_post_all();
	$go_search = htmlspecialchars($_POST['go_search']);

	if(isset($go_search))
	{
		$search = htmlspecialchars($_POST['search']);

		if(empty($search))
		{
			$messages = 'Вы не ввели поисковой запрос!';
		}

		elseif(mb_strlen($search) >= 32) 
		{
			$messages = 'Слишком большой поисковой запрос!';
		}

		else
		{
			$search_articles = get_search_articles($search);

			if($search_articles)
			{
				foreach ($search_articles as $num) {
					$num = $num['num'];
				}
			}

			if ($num > 0) 
			{
				$messages = "По вошему запросу найдено: $search";
			}

			else
			{
				$messages = "$search Не найдено!";
			}

		}
	}

	$url_address = htmlspecialchars($_SERVER['REQUEST_URI']);
	$path = htmlspecialchars($_SERVER['PHP_SELF']);
	$path = mb_substr($path, 0, strpos($path, 'index.php'));

	if($path === PATH)
	{
		$request_url = mb_substr($url_address, strlen(PATH));
		$url = explode('/', rtrim($request_url, '/'));
		$controller = $url[0];

		if($top_menu || $sidebar_category || $post_all)
		{
			foreach ($top_menu as $name_m) 
			{
				$name[] = $name_m['link_category'];
			}

			foreach ($sidebar_category as $namesis) 
			{
				$names[] = $namesis['link_cat'];
			}

			foreach ($post_all as $all) 
			{
				$art[] = $all['post_id'];
				$arti[] = $all['post_link'];
			}

			if(empty($controller))
			{
				$title = 'Главная';

				$ref = 'articles';

				require_once VIEW.'index.php';

			}

			elseif($controller === 'search')
			{
				$title = 'Поиск';

				$message_s = $messages;

				$ref = $controller;

				if($ref === 'search')
				{
					$ref = 'articles';
				}

				require_once VIEW.'search.php';
			}
			

			elseif(in_array($controller, $names) || in_array($controller, $name) || (in_array($controller, $arti) && !empty($url[1])))
			{
				$key = array();
				$value = array();

				if(!empty($url[1]))
				{
					$param_name_article = $url[1];

					$post_old = get_post_old($param_name_article);

					if(in_array($param_name_article, $arti))
					{
					
						$ref = $controller;
					
						require_once VIEW.'article.php';
					}

					else
					{
						echo '404';
					}
				}

				else
				{
					$title = 'Статьи';

					$ref = $controller;

					if(in_array($ref, $names))
					{
						$post_cat = get_post_category($ref);

						require_once VIEW.'article_cat.php';
					}
					else
					{
						require_once VIEW.'index.php';
					}
				}
			}

			else
			{
				echo '404';
				exit();
			}
			
		}

	}

[FanatPHP]

Tema Ovchinnikov: ты можешь зарегистрироваться на https://codereview.stackexchange.com и задать этот вопрос там. Этот сайт как раз и предназначен для ревью кода. Если не знаешь английский, то можешь попробовать с гугл-переводчиком задать вопрос и почитать ответы.

Answer 1

[Arman]

<?php
if (isset($_GET['submit']) && ($search = preg_replace("/[^a-z0-9]/i", "", $_GET['search']))) {
    echo $search;
    echo 'yes';
} else {
    echo 'no';
}
?>

Вообще для безопасного вывода браузера достаточно htmlspecialchars

Comments

[Tema Ovchinnikov]

Спасибо огромное!

Answer 2

[Сергей Соколов]

Можно использовать функцию filter_input() и очищающие фильтры.

<?php
$search = filter_input( INPUT_GET, "search", FILTER_SANITIZE_STRING);
if( !empty($search)) {
  echo $search;
  echo "Yes";
} else {
  echo "No";
}

Comments

[Tema Ovchinnikov]

Спасибо огромное! Даже не знал про очищающие фильтры. Я бы пожал вам руку при встречи!