ubernoob
@ubernoob

Автоматическая очистка POST в проекте?

В новом рабочем проекте столкнулся с тем, что массив $_POST автоматически переносится в некую переменную, назовём её $P в которой данные уже очищены, т.е. безопасные. Предприсывается пользоваться именно этим массивом по соображениям безопасности.

Нормальная ли это практа и если нормальная то вопрос только один:
Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё. Ведь в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д. Или идея в том, что тупо экранируется все специсимволы и без вопросов?
  • Вопрос задан
  • 170 просмотров
Решения вопроса 2
skobkin
@skobkin
Гентушник, разработчик на PHP и Symfony.
массив $_POST автоматически переносится в некую переменную, назовём её $P

Что практически бессмысленно.
Нормальная ли это практа

Нет. Посмотрите, как работает Symfony HttpFoundation, например. Там никто ничего не очищает. Безопасность обеспечивается в разных слоях приложения по-разному. В работе с БД - с помощью подготовленных запросов, при выводе данных - с помощью замены HTML-сущностей или экранирования и т.п.
Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё.

Никак.
в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д.

Это вопросы валидации, а не очистки данных, скорее.
Ответ написан
Комментировать
Введи правила оформления названия инпута. К примеру name="date_inputname" И при обработке пост, спаршивай имя инпута от 0 символа до "_". Вот тебе и название метода которым этот инпут проверять.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы