Правильно ли обезопасил входящие данные с форм?

Question

[leopardo11]

Вот так нужно обезопасить входящие данные?

if (isset($_POST['select'], $_POST['first_name'], $_POST['last_name'], $_POST['founder_name'], $_POST['phone_number'], $_POST['email'])){
	$select = strip_tags($_GET['select']);
	$select = htmlspecialchars($select);
	$select = mysql_escape_string($select);
	
	$first_name = strip_tags($_GET['first_name']);
	$first_name = htmlspecialchars($first_name);
	$first_name = mysql_escape_string($first_name);
	
	$last_name = strip_tags($_GET['last_name']);
	$last_name = htmlspecialchars($last_name);
	$last_name = mysql_escape_string($last_name);
	
	$founder_name = strip_tags($_GET['last_name']);
	$founder_name = htmlspecialchars($founder_name);
	$founder_name = mysql_escape_string($founder_name);
	
	$phone_number = strip_tags($_GET['phone_number']);
	$phone_number = htmlspecialchars($phone_number);
	$phone_number = mysql_escape_string($phone_number);
	
	$email = strip_tags($_GET['email']);
	$email_number = htmlspecialchars($email);
	$email = mysql_escape_string($email);

Answer 1

[andreyqin]

1) Почему бы не сделать так:

$param = mysql_escape_string(htmlspecialchars(strip_tags($_GET['param'])));

2) Используйте mysqli_real_escape_string
3) Используйте mysqli_real_escape_string при занесении данных в базу и htmlspecialchars при выводе их на страницу
4) Зачем вы 2 раза очищаете $_GET['last_name'], занося его в разные переменные? Можно ведь сделать это 1 раз и пользоваться переменной на протяжении всей работы программы.

Comments

[Александр Петров]

4 - ну копипаста же. В isset'е еще founder_name есть )

Answer 2

[Александр Петров]

DRY по вам плачет.

Answer 3

[Push Pull]

Зачем, если есть
filter_input (input_type, variable, filter, options)

Answer 4

[Сергей Сова]

Даже лучше filter_input_array