Как обрабатывать данные перед добавлением в базу данных и при выводе из нее в HTML?

Как вы обрабатываете данные перед добавлением в базу данных и при выводе из нее?

Опишу как это делаю обычно я на примере чисел и текста.
Я обычно использую следующие проверки:
  1. Убираю пробелы по бокам

    $name = trim(POST['name']);

  2. Если получаемая переменная должна быть числом, тогда привожу к числовому
    типу

    $num = (int)$_POST['num'];

  3. Использую подготовленные запросы PDO

    $stmt = $pdo->prepare($sql);
    $stmt->execute($params);

  4. При выводе из БД в HTML текстовые данные обрабатываю функцией htmlspecialchars

    $name = htmlspecialchars($_POST['name']);

  • Вопрос задан
  • 207 просмотров
Пригласить эксперта
Ответы на вопрос 1
@eandr_67
web-программист (*AMP, Go, JavaScript, вёрстка).
Всё выглядит достаточно разумным.
Если параметризированные запросы, то преобразовывать в число не обязательно. Собственно, само использование параметризованных запросов - главная защита от SQL-инъекций.
Советую дополнительно посмотреть на https://www.php.net/manual/ru/ref.filter.php - там много интересных возможностей.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы