Автоматическая очистка POST в проекте?

Question

Uber Noob @ubernoob

PHP

Автоматическая очистка POST в проекте?

В новом рабочем проекте столкнулся с тем, что массив $_POST автоматически переносится в некую переменную, назовём её $P в которой данные уже очищены, т.е. безопасные. Предприсывается пользоваться именно этим массивом по соображениям безопасности.

Нормальная ли это практа и если нормальная то вопрос только один:
Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё. Ведь в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д. Или идея в том, что тупо экранируется все специсимволы и без вопросов?

Вопрос задан более трёх лет назад
174 просмотра

3 комментария

Подписаться 1 Оценить 3 комментария

Сергей delphinpro @delphinpro Куратор тега PHP

Во-первых, нормальная практика - это сведение к минимуму использование глобальных переменных, в том числе предопределенных.
Во-вторых, валидировать данные нужно там, где они используются, и так, как того предполагает их использование.
Изобретение "волшебной палочки" для очистки данных - фигня.
ИМХО.

Написано более трёх лет назад
Uber Noob @ubernoob Автор вопроса

Сергей, спасибо, не ну я просто думаю вдруг я настолько нуб что все уже давно так делают, а я не в курсе

Написано более трёх лет назад
Алексей @AlexMaxTM

Uber Noob, Если бы это было нормальной практикой, то это делали бы все повсеместно. Скорее должно удивить, что никто этого не делает и задаться вопросом: почему? Бессмысленно писать универсальную функцию на все случаи жизни. Проще работать с каждым параметром отдельно через валидаторы.

Написано более трёх лет назад

Решения вопроса 2

Комментировать

5 комментариев

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+1 ещё

Простой
Как корректно распределить сумму внутри элементов массива?
- 1 подписчик
- 2 часа назад
- 46 просмотров
0

ответов
PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- вчера
- 3701 просмотр
6

ответов
PHP

Простой
Как трансформировать массив?
- 1 подписчик
- 20 нояб.
- 123 просмотра
1

ответ
PHP

+1 ещё

Простой
Как решить проблему с выводом PHP из MSSQL?
- 1 подписчик
- 19 нояб.
- 121 просмотр
1

ответ
PHP

Средний
Как выявить символы не поддерживаемые кодировкой?
- 2 подписчика
- 18 нояб.
- 220 просмотров
1

ответ
PHP

Простой
Что неправильного в моем коде?
- 1 подписчик
- 18 нояб.
- 224 просмотра
3

ответа
PHP

Простой
Как исправить проблему с mail php и заголовками для gmail?
- 2 подписчика
- 18 нояб.
- 243 просмотра
2

ответа
PHP

+2 ещё

Простой
Как можно отредактировать микроразметку сайта написанного на Bootstrap?
- 1 подписчик
- 17 нояб.
- 226 просмотров
3

ответа
PHP

+1 ещё

Простой
Как правильно перебрать вложенный массив и вывести результат?
- 1 подписчик
- 16 нояб.
- 113 просмотров
2

ответа
PHP

+2 ещё

Средний
Как создать отдельные кнопки вариаций?
- 1 подписчик
- 15 нояб.
- 87 просмотров
1

ответ
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Разработчик PHP

Автомакон

от 206 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

Нужен верстальщик. Переверстать, доверстать, доработать интерфейс

22 нояб. 2024, в 16:13

7000 руб./за проект

Доработка и исправление ошибок в работе Личного кабинета сайта

22 нояб. 2024, в 15:59

35000 руб./за проект

Рефакторинг vue.js/nest.js интерфейса у админки

22 нояб. 2024, в 15:50

150000 руб./за проект

Во-первых, нормальная практика - это сведение к минимуму использование глобальных переменных, в том числе предопределенных.
Во-вторых, валидировать данные нужно там, где они используются, и так, как того предполагает их использование.
Изобретение "волшебной палочки" для очистки данных - фигня.
ИМХО.
Сергей, спасибо, не ну я просто думаю вдруг я настолько нуб что все уже давно так делают, а я не в курсе
Uber Noob, Если бы это было нормальной практикой, то это делали бы все повсеместно. Скорее должно удивить, что никто этого не делает и задаться вопросом: почему? Бессмысленно писать универсальную функцию на все случаи жизни. Проще работать с каждым параметром отдельно через валидаторы.

Answer 1 · 2017-09-20 22:03:59

массив $_POST автоматически переносится в некую переменную, назовём её $P

Что практически бессмысленно.

Нормальная ли это практа

Нет. Посмотрите, как работает Symfony HttpFoundation, например. Там никто ничего не очищает. Безопасность обеспечивается в разных слоях приложения по-разному. В работе с БД - с помощью подготовленных запросов, при выводе данных - с помощью замены HTML-сущностей или экранирования и т.п.

Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё.

Никак.

в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д.

Это вопросы валидации, а не очистки данных, скорее.

Answer 2 · 2017-09-20 22:01:18

Введи правила оформления названия инпута. К примеру name="date_inputname" И при обработке пост, спаршивай имя инпута от 0 символа до "_". Вот тебе и название метода которым этот инпут проверять.

Автоматическая очистка POST в проекте?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт