Как не обращаться к глобальным переменным из классов?

Question

[Алексей Коновалов]

Всем привет! При запросах к серверу через API, идет обращение к классу с соответствующим названием.
Например UsersGetById вызовет следующую цепочку файлов:
index.php -> init.php -> UsersGetById.php
Например, клиент хочет получить данные о пользователе. НО, эти данные должны включать, например последние 10 фото из альбома и последние 10 постов со стены.
Я делаю так:
Файл init.php вызывает метод UsersGetById.php->run(), который проверяет необходимые поля (например ID требуемого пользователя) и обращается ко всем необходимым классам, в том числе к классу Users (не путать с UsersGetById.php), который отвечает только за пользователей и имеет метод Users->getById(),
Также идет обращения к классу альбомов Albums->getPhotosByUserId()
и классу постов Posts->getPostsByUserId()

Получается, что все необходимые поля, которые должны быть получены от клиента (в нашем случае USER_ID), должны проверяться в методе users.getById.php->run() как-то так:

if(isset($_GET['user_id']) && preg_match('/^[\d]+$/is')){
   //... и пошли собирать данные по основным классам
   $data['account_info'] = Users->getById($_GET['user_id']);
   $data['photos'] = Albums->getPhotosByUserId($_GET['user_id']);
   $data['posts'] = Posts->getPostsByUserId($_GET['user_id']);

   return json_encode($data);
}else{
   return false;
}

Я полагаю, не правильно из всех подобных классов обращаться к глобальному массиву $_GET?
Но я не могу придумать как этого избежать... Пните в нужную сторону пожалуйста.

Answer 1

[xmoonlight]

Создайте класс-хранилище, где будете проверять фильтрами (перед помещением данных в него) и брать из него в других классах, доверяя этим данным (т.к. они - уже будут проверены этим классом).

Comments

[Алексей Коновалов]

Но откуда фильтр в классе-хранилище будет знать о всех возможных параметрах которые будут передаваться и тем более о том, какие правила используются для каждого из них?
Получается для всех переменных, которые я принимаю в разных классах приложения, я должен описать правила в классе-хранилище?

[xmoonlight]

Алексей Коновалов, Да. Для каждой переменной ВСЕГДА нужно готовить фильтр по "белому" списку.
Даже для произвольного текста: фильтруем только печатаемые символы!

Все пользовательские переменные должны проходить через этот фильтр сразу же при любом обращении к любому из бэкенд-скриптов и "оседать" там до окончания выполнения всех скриптов.
На то оно и хранилище-чистилище-дизъинфецирище.

[Алексей Коновалов]

xmoonlight, Т.е. нужно использовать такую схему?
Каждый класс на бекенде знает о классе, скажем, requestData.
При обращении к любому из этих классов, мы создаем правило для всех переменных, которые этот класс поддерживает и отправляем эти правила в класс requestData. Исходя из этих правил, класс requestData обрабатывает переменные из глобальных массивов и сохраняет у себя в каком-то свойстве в виде массива, а мы потом просто запрашиваем их по принципу requestData->getParam('id');
Я правильно понял?

[xmoonlight]

Алексей Коновалов, Мы можем передать фильтр в requestData из любого класса при инициализации этого класса (внутри __construct()):

requestData->setFilter($_REQUEST['id'],'/[0-9]{1,5}/i','private');

(и сохранить фильтр для этого параметра внутри класса requestData)

private (или параметр опущен) - будет означать, что значение переменной доступно только для установившего фильтр класса и больше никому. Сменить фильтр (или удалить) - может только класс-владелец.
public - доступно всем для чтения и изменения.

Затем получить в нужный момент уже "очищенные" данные" из другого класса:
requestData->getParam('id');

Одновременно, мы можем поставить в классе requestData защиту на получение определённых переменных из другого класса.

А при отсутствии фильтра на запрошенную переменную или при попытке получить "чужие" данные - сгенерировать исключение.

ВНИМАНИЕ: После инициализации класса requestData - все входные публичные массивы мы помещаем в "отстойник" (внутрь класса requestData), а из публичных $_REUQEST/$_POST/$_GET - мы удаляем их, чтобы по ошибке не использовать напрямую. Т.е. сами себе повышаем безопасность!

[Алексей]

xmoonlight, Мне кажется вы уже смешали фильтрацию и валидацию...
Я бы посоветовал создать создать класс синглтон RequestData в котором экранируются все магические кавычки, удаляются непечатаемые символы.
Во всем скрипте получать переменные через RequestData->get($param) зная что они уже экранированы, а валидацию оставить другим классам, чтобы было проще выводить ошибки или в зависимости от существующих/несуществующих данных выполнять разные классы и методы.

[xmoonlight]

Евгений, Всё просто: зачем фильтровать то, что не будет использоваться?! Такое - сразу нафиг! А если есть валид-фильтр от какого-то класса, значит что он ждёт эти данные. В итоге, мы не фильтруем разный мусор, а сразу от него избавляемся, экономя и память и увеличивая скорость обработки.

чтобы было проще выводить ошибки или в зависимости от существующих/несуществующих данных выполнять разные классы и методы.

Вот как раз в одном месте и будет всё проще сделать!

Answer 2

[galliard]

UsersGetById.php->run($_GET['user_id'])

Очевидно же

Comments

[Алексей Коновалов]

В этом контесте да, но если передаются фильтры, например город, страна, пол и т.д. то все это уже не получится просто взять и закинуть в параметры run

[galliard]

Можешь создать DTO, например так:

class Profile {

    private $country;
    private $city;
    private $sex;
    private $age;

    public function __construct(string $country, string $city, string $sex, int $age) {
        $this->country = $country;
        $this->city = $city;
        $this->sex = $sex;
        $this->age = $age;
    }

    public function getAge(): int {
        return $this->age;
    }
}

$profile = new Profile($_GET['country'], $_GET['city'], $_GET['sex'], $_GET['age']);

UsersGetById.php->run($profile)