Автоматическая очистка POST в проекте?

Question

Uber Noob @ubernoob

PHP

Автоматическая очистка POST в проекте?

В новом рабочем проекте столкнулся с тем, что массив $_POST автоматически переносится в некую переменную, назовём её $P в которой данные уже очищены, т.е. безопасные. Предприсывается пользоваться именно этим массивом по соображениям безопасности.

Нормальная ли это практа и если нормальная то вопрос только один:
Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё. Ведь в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д. Или идея в том, что тупо экранируется все специсимволы и без вопросов?

Вопрос задан более трёх лет назад
173 просмотра

3 комментария

Подписаться 1 Оценить 3 комментария

Сергей delphinpro @delphinpro Куратор тега PHP

Во-первых, нормальная практика - это сведение к минимуму использование глобальных переменных, в том числе предопределенных.
Во-вторых, валидировать данные нужно там, где они используются, и так, как того предполагает их использование.
Изобретение "волшебной палочки" для очистки данных - фигня.
ИМХО.

Написано более трёх лет назад
Uber Noob @ubernoob Автор вопроса

Сергей, спасибо, не ну я просто думаю вдруг я настолько нуб что все уже давно так делают, а я не в курсе

Написано более трёх лет назад
Алексей @AlexMaxTM

Uber Noob, Если бы это было нормальной практикой, то это делали бы все повсеместно. Скорее должно удивить, что никто этого не делает и задаться вопросом: почему? Бессмысленно писать универсальную функцию на все случаи жизни. Проще работать с каждым параметром отдельно через валидаторы.

Написано более трёх лет назад

Решения вопроса 2

Комментировать

5 комментариев

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Интересует простой скрипт стены комментариев с возможностью добавить фото и мгновенным выводом на страницу?
- 1 подписчик
- 4 часа назад
- 28 просмотров
0

ответов
PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 11 часов назад
- 37 просмотров
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- 12 часов назад
- 116 просмотров
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 13 часов назад
- 78 просмотров
0

ответов
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 95 просмотров
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- вчера
- 134 просмотра
2

ответа
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 22 апр.
- 204 просмотра
3

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 22 апр.
- 142 просмотра
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 апр.
- 92 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 71 просмотр
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот

25 апр. 2024, в 04:38

15000 руб./за проект

Приложение или модуль для Wordpress для учета поездок по QR

25 апр. 2024, в 03:58

10000 руб./за проект

Ошибка в 1с при выгрузке товаров на сайт на Битриксе

25 апр. 2024, в 03:08

3000 руб./за проект

Во-первых, нормальная практика - это сведение к минимуму использование глобальных переменных, в том числе предопределенных.
Во-вторых, валидировать данные нужно там, где они используются, и так, как того предполагает их использование.
Изобретение "волшебной палочки" для очистки данных - фигня.
ИМХО.
Сергей, спасибо, не ну я просто думаю вдруг я настолько нуб что все уже давно так делают, а я не в курсе
Uber Noob, Если бы это было нормальной практикой, то это делали бы все повсеместно. Скорее должно удивить, что никто этого не делает и задаться вопросом: почему? Бессмысленно писать универсальную функцию на все случаи жизни. Проще работать с каждым параметром отдельно через валидаторы.

Answer 1 · 2017-09-20 22:03:59

массив $_POST автоматически переносится в некую переменную, назовём её $P

Что практически бессмысленно.

Нормальная ли это практа

Нет. Посмотрите, как работает Symfony HttpFoundation, например. Там никто ничего не очищает. Безопасность обеспечивается в разных слоях приложения по-разному. В работе с БД - с помощью подготовленных запросов, при выводе данных - с помощью замены HTML-сущностей или экранирования и т.п.

Как при очистке и перемещении $_POST->$P предусмотреть абсолютно всё.

Никак.

в некоторых формах может приниматься небольшой текст, в некоторых цифры, в некоторых e-mail, в некоторых большой текст где разрешены спецсимволы типа +,=,! и т.д.

Это вопросы валидации, а не очистки данных, скорее.

Answer 2 · 2017-09-20 22:01:18

Введи правила оформления названия инпута. К примеру name="date_inputname" И при обработке пост, спаршивай имя инпута от 0 символа до "_". Вот тебе и название метода которым этот инпут проверять.

Автоматическая очистка POST в проекте?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт