Как обрабатывать данные перед добавлением в базу данных и при выводе из нее в HTML?

Question

[Михаил Гаврилюк]

Как вы обрабатываете данные перед добавлением в базу данных и при выводе из нее?

Опишу как это делаю обычно я на примере чисел и текста.
Я обычно использую следующие проверки:

1. Убираю пробелы по бокам
   
   $name = trim(POST['name']);
   
   
2. Если получаемая переменная должна быть числом, тогда привожу к числовому
   типу
   
   $num = (int)$_POST['num'];
   
   
3. Использую подготовленные запросы PDO
   
   

   $stmt = $pdo->prepare($sql);
   $stmt->execute($params);

   
   
4. При выводе в HTML (например из БД ) текстовые данные обрабатываю функцией htmlspecialchars
   
   $name = htmlspecialchars($name);
   
   

Comments

[FanatPHP]

4. пункт неправильный. htmlspecialchars не имеет никакого отношения к БД.
htmlspecialchars относится к HTML. И применять эту функцию надо при выводе данных в HTML.

А при выводе из БД данные обрабатывать вообще никак не надо

[Михаил Гаврилюк]

FanatPHP, совершенно верно. Поправил вопрос.

[FanatPHP]

ну вот меня опять смущает формулировка.
это может показаться придирками, но есть миллион случаев когда люди понимают буквально и получают уязвимости
"При выводе из БД в HTML" однозначно говорит о том что данные из $_POST или скажем CSV обрабатывать не нужно.

Зачем добавлять эту ненужную и неправильную специализацию, "из БД"?

[Михаил Гаврилюк]

FanatPHP, А так норм ?

Answer 1

[Андрей Ежгуров]

Всё выглядит достаточно разумным.
Если параметризированные запросы, то преобразовывать в число не обязательно. Собственно, само использование параметризованных запросов - главная защита от SQL-инъекций.
Советую дополнительно посмотреть на https://www.php.net/manual/ru/ref.filter.php - там много интересных возможностей.

Comments

[Михаил Гаврилюк]

спасибо, гляну