Безопасно ли так производить запись пользовательского текста в базу?

Question

[Имя Фамилия]

Отправляю текст так:
javascript

function send_p() {
var xhr = new XMLHttpRequest();
var post_text = encodeURIComponent(document.getElementById("post_text").value);
xhr.open("POST", "/sw/sa.php?go=send_p", true);
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xhr.send("post_text=" + post_text);
xhr.onreadystatechange = function() { 
      if (xhr.readyState == 4) { 
        if(xhr.status == 200) { 
           let postArr = JSON.parse(xhr.responseText);			
...
        }
      }
    }; 
}

PHP обработчик sa.php

<?
if($_GET['go'] == 'send_p'){
include "/loggedact.php";
}
elseif($_GET['go'] == 'reg'){
include "/act.php";
}
else {
die();
}
?>

Далее, сам PHP записи в базу loggedact.php:

if($logged) {
	if($_GET['go'] == 'send_p'){

		$post_text = addslashes($_POST['post_text']);

		// пропускаем, если симолов достаточно
		if(strlen($post_text) > 15) {

			$sth = $dbpdo->prepare("INSERT INTO `blogs` SET `text` = ?");
			$sth->execute(array($post_text));
			$insert_id = $dbpdo->lastInsertId();
			
			echo json_encode(array('1',$insert_id));
		}

		else {

		echo json_encode(array('2','Маленький текст'));

		}
	}

} else {
die();
}

Comments

[N]

Люди, кони...всё в кучу...

Целую статью про обработку данных неохота здесь разводить...ибо в гугле всё об этом есть...

[Имя Фамилия]

N, Спасибо.
Целую статью не нужно, тезисно если можно, было бы хорошо.

Answer 1

[neol]

$sth = $dbpdo->prepare("INSERT INTO `blogs` SET `text` = ?");

Этого достаточно для защиты от sql injection.

В приведённом коде нет проверки авторизации и защиты от CSRF.

$post_text = addslashes($_POST['post_text']);

Зачем это тут?

if(strlen($post_text) > 15) {

К безопасности это не относится, но лучше всё же mb_strlen.

Comments

[Имя Фамилия]

Понял, спасибо.

[FanatPHP]

проверка авторизации вроде есть

[FanatPHP]

User782, и прекрати ради бога плюсовать все ответы без разбору.
Здесь только этот ответ несет полезную информацию, а остальные два - бессмысленное надувание щёк.

Answer 2

[Mors Clamor]

А где htmlspecialchars и иже с ними?

Comments

[FanatPHP]

Наверное при выводе, а вопрос вроде про запись?

[Mors Clamor]

FanatPHP, а давно в базу необработанный текст пишут?

[Stalker_RED]

66demon666, это стало мейнстримом уж лет 10-12 назад.
запись как есть, и фильтрация при выводе.

[Mors Clamor]

Stalker_RED, ну возможно, возможно. Но я всегда обрабатываю данные перед записью в БД. Ибо обработать их 1 раз проще чем обрабатывать при каждом выводе