Как лучше проверять приходящие данные PHP?

Question

[Ibishka]

У меня свой rest api. Должно приходить например число то проверку типо от атак делаю так, если не число то значит user хочет хитрить что то не хорошее внести.
$digit = +file_get_contents('php://input');
Если строка то проверку так делаю

function testInput($data)
{
  return htmlspecialchars(stripslashes(trim($data)));
}

Правильно, достаточно ли такая проверка или что то посильнее нужно?

Answer 1

[FanatPHP]

Это все полная бессмыслица.
"типо от атак" никакие "проверки" вообще не нужны
функция testInput - это вообще какаой-то ужас, который кочует из отного видео в другое

Надо понимать две вещи

1. "от атак" ничего никогда не проверяют. Нормально написанному коду никакие атаки не страшны. Поэтому надо просто писать нормальный код.
2. проверять данные в принципе можно. Но не "от атак", а просто для удобства. Нормальное рест апи всегда скажет клиенту, если у него данные не в том формате. Только в случае, если проверка не прошла, надо не молча корёжить данные, а вежливо ответить что они не подходят. А сейчас у тебя код только тупо портит входящие данные.

Comments

[Ibishka]

FanatPHP TestInput брал из w3schools там это было проверка для формы

[FanatPHP]

w3schools умные люди называют не иначе как w3fools
при чем здесь "формы", если у тебя апи?

[Ibishka]

FanatPHP, из формы тоже приходят данные

[FanatPHP]

Куда? Зачем? При чем тут тогда rest api?
В любом случае читай выше - для форм эта функция тоже абсолютно идиотская