Нужно ли экранировать get-запросы в input?

Question

[Programmir]

Допустим в input type="hidden" я вставляю GET-запрос. Нужно ли мне ещё обертывать его в htmlspecialchars? Или это излишне? В базе данных это сохраняться не будет.

Answer 1

[FanatPHP]

Два вопроса

1. Почему ты считаешь что "излишне" кодировать спецсимволы html при выводе данных в html?
2. Какая связь между функцией htmlspecialchars и базой данных?

Comments

[Programmir]

Просто эти данные потом нигде на сайте выводиться не будут. Я просто не представляю, что пользователь может сделать на сайте, если свой get запрос пропишет. Выходит, что если в базу данных это не попало, то на сайт это же никак не влияет.

[FanatPHP]

При чем здесь "потом"? Ты сейчас их выводишь.
Как это не влияет, если ты выводишь их на сайт. Где логика?

[Programmir]

FanatPHP, эти get запросы идут на странице пользователя, если он какие-то свои данные подставит, то это не отразится на сайте, так как в базу данных не заносится. Это же просто будет у него на странице, никто же, допустим, больше alert, добавленный злоумышленником, не увидит. Или с помощью javascript злоумышленник может как-то навредить сайту? Javascript же только за визуальную часть отвечает. А эти данные нигде не сохранятся на сайте. Мне нужно только их на почту отправить и в гугл таблицу. А там у них свои фильтры должны быть.

[FanatPHP]

Скажу тебе по секрету, "страница пользователя" это тоже сайт.

Или с помощью javascript злоумышленник пользователь может как-то навредить сайте?

Боже, какая святая наивность.

[FanatPHP]

Я одного не могу понять - из-за чего ты торгуешься?
Даже если бы пользователь не мог навредить на сайте, почему бы просто не сделать по правилам? И избежать если даже не взлома, то просто вероятных ошибок в отображении?

При чем здесь вообще такие частности как утм-метки, страница пользователя?
Ты так и будешь над каждой странице размышлять - "вот здесь я буду соблюдать стандарты, а здесь забью"? Серьезно?

Answer 2

[Евгений Вольф]

Не совсем понятно, что Вы имеете в виду под фразой "вставляю GET-запрос"... варианта у меня два на эту тему: либо результата GET-запроса, либо какие-то доп. параметры для GET-запроса. В обоих случаях, если речь идёт о содержимом какого-то поля типа INPUT (или TEXTAREA, что равносильно по сути) - оборачивать его в htmlspecialshars - лично я никакой необходимости не вижу. При отправке запроса - форма сама по себе прекрасно кодируется, без всяких "оборотов", содержимое поле исходно так же обычно не требует никаких дополнительных "оборотов", не зависимо от того, собираетесь ли Вы сохранять это в БД или нет.

P.S. Вообще, говоря про htmlspecialchars() и БД, логически "оборачивание" делается перед выводом данных на сайте, а не перед вставкой. Делается это например для того, что бы исключить возможность недобросовестным пользователям, которые оставляют скажем комментарии - вставлять в эти комментарии например JavaScript-код и прочие подобные факторы.

Comments

[Programmir]

Мне данные utm нужны, чтобы на почту отправить и чтобы в гугл таблицы запихнуть. Вот поэтому я и думаю, нет ли в этом необходимости. Подстраховаться всегда можно, но не хочется говнокода, то есть не использовать то, где это не нужно.

[FanatPHP]

оборачивать его в htmlspecialshars - лично я никакой необходимости не вижу.

"оборачивание" делается перед выводом данных на сайте

Рюрик Соломонович, вы или крестик снимите, или трусики наденьте.

[Евгений Вольф]

FanatPHP, забыл указать, что в одном из случаев речь идёт о контексте вопроса автора, благодарю за замечание.

[Евгений Вольф]

Programmir, я Вам скажу так - если оно работает без "оборачиваний" - то какой-либо необходимости лично я на данный момент не вижу, впрочем как и какого-либо "говнокода" в контексте вопроса я тоже пока не вижу, основной вопрос скорее всего в том, в каком из случаев оно будет работать именно так, как Вам нужно. Если для корректной работы описанной механики "оборачивание" не нужно - думаю можно его пропустить.

[FanatPHP]

Евгений Вольф, ты сам-то понял, что сказал, "куратор"?
Вообще-то его частный случай "в контексте вопроса" прекрасно укладывается в твои абстрактные разглагольствования про "вообще".

Answer 3

[xmoonlight]

1. Всё, что приходит от пользователя - должно быть отфильтровано через regex на ожидаемые паттерны.
2. Все "тела" бинарных файлов (изображений, документов и т.д.) должны быть проверены на корректность ожидаемой структуры данных внутри них.
3. Исходники - (помимо запуска в "песочнице" с урезанными правами) ещё и на опасные действия внутри кода.
И НИКАК ИНАЧЕ!