Можно ли использовать die при валидации?

Question

[Анастасия]

Подскажите, на сколько верное/неверное решение?

//  проверка имени
if (preg_match('/^([а-яa-zё]+-?[а-яa-zё]+)( [а-яa-zё]+-?[а-яa-zё]+){1,2}$/Diu', $post['iname']) === 0){
	$error['validate'][] = "iname";
}

// проверка почты
if (!filter_var($post['icont'], FILTER_VALIDATE_EMAIL)){
	$error['validate'][] = "icont";
} 

// проверка телефона
preg_match('/^(\+)?\d{9,13}$/', $post['icont']) === 0){
	$error['validate'][] = "iadress";
}

// проверка адреса (бомж-вариант)
if (preg_match("/^[ a-z0-9а-я,.\/№-]+$/iu", $post['iadress']) === 0){
	$error['validate'][] = "iadress";
}

//отправка ошибки в случае не прохода валидации
if(is_array($error['validate'])) {
	echo json_encode($error);
	die;
}

// если куки кривые
if (!array_key_exists("cart", $_COOKIE)) {
	setcookie("cart", null, time()-1000);
	echo("всё плохо");
	die();
}

// ошибок нет, значит заносим данные в БД

Это часть кода в php файле, куда пользователь отправляет свои данные для оформления заказа.

Поясняю последний IF
Чтобы вообще получить доступ к странице откуда отправляется форма, нужно иметь cookie. Без них форма для заполнения отображаться не будет, поэтому я и удаляю куки, т.к. пользователь попытался обратиться к файлу не через сайт.

Comments

[monday_suicide]

для этого есть csrf - токен
Для отлавливания ошибок нужно использовать исключения
зачем вообще переводить ошибку в json?
зачем вообще использовать die? ты хоть бы почитал что это за конструкция

[FanatPHP]

Обычно приложение структурируют так, чтобы его не приходилось прерывать аварийно
К примеру

if(!isset($error['validate'])) {
    save_cart($post);
    $response = ['success' =>  true];
}  else {
    $response = ['success' =>  false, 'error' => $error];
}
echo json_encode($response);

Последний иф прекрасен
казалось бы, зачем удалять куку, которой и так нет? :)

[FanatPHP]

monday_suicide, а можно уточнить, для чего "для этого"? какие именно исключения надо отлавивать? И какой формат вместо json ты предлагаешь?

[Spartak (Web-StyleStudio)]

// если куки кривые

Улыбнуло))

Если уже используете die (еквивалент exit), то используйте уже так:

die(json_encode($error));
// или 
exit(json_encode($error));

// и
die("всё плохо");

И как-то странно, в одном месте прерывается выводом json данных, в другом обычный текст.

[Spartak (Web-StyleStudio)]

monday_suicide,

зачем вообще переводить ошибку в json?

Ну как минимум для ajax обработчика с dataType: "json"

[Анастасия]

Spartak (Web-StyleStudio),

И как-то странно, в одном месте прерывается выводом json данных, в другом обычный текст.

в месте, где всё плохо, будет функция, которая будет в БД заносить информацию о ip пользователя, который попытался организовать несанкционированный доступ.

[Анастасия]

Spartak (Web-StyleStudio), и да, спасибо за помощь

[Spartak (Web-StyleStudio)]

Анастасия,
Пожалуйста

[Spartak (Web-StyleStudio)]

Анастасия,

попытался обратиться к файлу не через сайт.

А что мешает обратиться к сайту не через сайт с отправкой куки например через curl?

Лучше использовать токен. Например в форме в скрытый инпут сгенерировать хеш с солью, и потом при обработке данных (пост или гет) на сервере сравнить полученный от юзера и сгенерированый

[Анастасия]

Spartak (Web-StyleStudio),

А что мешает обратиться к сайту не через сайт с отправкой куки например через curl?

я думала об этом, поэтому у меня все куки шифрованы. Но ещё мне кажется, я думала не совсем о том, о чём вы говорите)

Что значит сгенерировать хеш с солью? Нет, грубо говоря, я понимаю, что это. Просто разве это не защитит меня от человека, который просто поймёт как он генерируется.

В моём случае массив переводится в json, а потом шифруется AES-128-ECB и отдаётся пользователю. Если я добавляю товар в корзину, то массив в начале расшифруется, раздекодируется json, добавится в массив запись, а затем снова -> json -> AES -> cookie. И та строчка, в которой я удаляю куки выглядит вот так:

if (array_key_exists("cart", $_COOKIE)) {
	if (!array_key_exists("data", $_COOKIE['cart'])) {
		setcookie("cart", null, time()-1000);
  		echo("всё плохо");
  		die();
	}
}

[John Didact]

Ты — быдлокодер. Я — быдлокодер. Давай с тобой сыграем свадьбу, забудем о вэбе и разработке, купим скот и будем продавать мясо?!

Эти строки вызовут ошибку:

// проверка телефона
preg_match('/^(\+)?\d{9,13}$/', $post['icont']) === 0){
  $error['validate'][] = "iadress";
}

Эти строки тоже (предупреждение):

//отправка ошибки в случае не прохода валидации
if(is_array($error['validate'])) {
  echo json_encode($error);
  die;
}

Отвечая на вопрос: да, я разрешаю. Но если тебе интересно мнение фанатов языка, о котором идёт речь, то нет… они не разрешают((

[John Didact]

Анастасия, вас на курсах учили делать так:

if (array_key_exists("cart", $_COOKIE)) {
  if (!array_key_exists("data", $_COOKIE['cart'])) {
    setcookie("cart", null, time()-1000);
  		echo("всё плохо");
  		die();
  }
}

нас в садике учили делать так:

if(isset($_COOKIE['cart']) && !isset($_COOKIE['cart']['data'])){
 setcookie('cart', '', 0); // ну или time()-69, если паранойя мучает или решите, что программа должна нормас работать в прошлом
 exit('это печально');
}

[Spartak (Web-StyleStudio)]

John Didact,

нас в садике учили делать так:

if(isset($_COOKIE['cart']) && !isset($_COOKIE['cart']['data'])) {

Ну тогда уж лучше так
if (!isset($_COOKIE['cart']['data'])) {

[John Didact]

Spartak (Web-StyleStudio), не, тогда будет "удалять" вкусную печенюшку, которой и так нет.

[Анастасия]

John Didact,

Эти строки вызовут ошибку:

Да, я составляла на лету, дописывая в момент составления вопроса)

[John Didact]

Анастасия, а что на счёт того, что вызовет предупреждение и на счёт того, чтобы выйти за меня и торговать мясом?

[Анастасия]

а что на счёт того, что вызовет предупреждение

я заменила его на isset. ещё до твоего сообщения. но всё равно спасибо.

если бы ты сказал "чтобы выйти за меня и торговать акциями" - было бы больше шансов)

Answer 1

[DevMan]

можно конечно.
но хорошая практика - иметь единственное место вывода.

Answer 2

[Дмитрий Гординский]

Помимо уже перечисленных проблем, отметил бы ещё тестирование. В случае с PHPUnit, покрыть тестами код содержащий die или exit весьма затруднительно, так как такое завершение скрипта приведёт в том числе и к завершению скрипта теста.

Answer 3

[Spartak (Web-StyleStudio)]

Можно!
die (или exit) - предназначен для вывода сообщения и прекращения выполнения скрипта.

Если уже используете die (еквивалент exit), то используйте уже так:

die(json_encode($error));
// или 
exit(json_encode($error));
// и
die("всё плохо");

Comments

[Spartak (Web-StyleStudio)]

if (!array_key_exists("cart", $_COOKIE)) {
  setcookie("cart", null, time()-1000);
  echo("всё плохо");
  die();
}

setcookie("cart", null, time()-1000);
Бесполезная строка (в данном случае)

[FanatPHP]

Как будто эхо "все плохо" полезная

[FanatPHP]

И это.
"Можно" только в твоей студии говнокодеров.
Когда ты дорастешь до того, чтобы понимать нормальный код, то убедишься, что никаких die в нем нет

[Spartak (Web-StyleStudio)]

FanatPHP,
Мнение тролля не интересно

[FanatPHP]

Впрочем, и на уровне твоего говнокода оно тоже работает не так как ты думаешь
$error = 64;
die($error);

[Spartak (Web-StyleStudio)]

FanatPHP,

$error = 64;
die($error);

Ну это и есть твой говнокод

$error = "64";
die($error);
//die("64");

[DevMan]

Spartak (Web-StyleStudio), троллизм тут вообще не при чем.
использование нескольких точек прерывания/вывода - порочная практика.
хотя и имеет место быть в одностраничниках и говнокоде.

[Spartak (Web-StyleStudio)]

DevMan,
Вопрос был в другом, можно ли использовать die...
Никто не спорит, что можно вообще не использовать его

[DevMan]

Spartak (Web-StyleStudio), можно конечно.
как и лепить лесинки из ифоф и ехо.
только нужно ли?

[Spartak (Web-StyleStudio)]

DevMan,

использование нескольких точек прерывания/вывода - порочная практика.

Обоснуйте, в чём "порочность"?

[DevMan]

Spartak (Web-StyleStudio), как минимум в затруднении отладки.
и не следовании psr. хотя я сам достаточно часто прохладно отношусь к некоторомых их рекомендациям. но конкретно эта к ним не относится.

[Spartak (Web-StyleStudio)]

DevMan,

как минимум в затруднении отладки.

Например, в чём трудность?

[DevMan]

Spartak (Web-StyleStudio), в том, что при единой точке мне достаточно вызвать бэктрейс только в ней, а при множественных нужно бегать по коду.
неужели вам самому это не очевидно?

[DevMan]

Spartak (Web-StyleStudio), или стилизовать только в одном месте?

[Spartak (Web-StyleStudio)]

DevMan,

нужно бегать по коду.

Зачем по нему бегать? Автор вопроса выводит сообщение об ошибке пользователю, что в таком то поле указанное значение не корректно, и прерывает дальнейшее выполнение скрипта, для этого die (exit) и сделан.
К отладке какое это имеет отношение?

[Spartak (Web-StyleStudio)]

DevMan,

при единой точке мне достаточно вызвать бэктрейс только в ней, а при множественных нужно бегать по коду.

Можете привести пример такого кода?

[DevMan]

Spartak (Web-StyleStudio),

К отладке какое это имеет отношение?

a вы пытались отлаживать что–то сложнее показанного кода?
если вопрос для вас исключительно в "можно ли", то конечно можно (и об этом я писал на час раньше вас).
так же можно и телегу с разбегу. но нужно ли? или таки нужно указать, что есть другие способы?

[DevMan]

Spartak (Web-StyleStudio),

Можете привести пример такого кода?

сами можете найти: любой psr-compline код. или попытаться написать самому.
или любой из взрослых фреймворков.

[Spartak (Web-StyleStudio)]

DevMan,
Ну понятно, поумничать могут все, а привести пример своего кода не хотят или не могут. И считают себя чисто-кодерами.

[Spartak (Web-StyleStudio)]

DevMan,
Хорошо, напишите свой вариант кода из этого вопроса, кроме последнего if про куки. Я думаю что и автору вопроса и тем кто из поиска зайдёт будет полезно!

[Анастасия]

Spartak (Web-StyleStudio), DevMan,

[Spartak (Web-StyleStudio)]

Анастасия,
Не отображается картинка))

[DevMan]

Spartak (Web-StyleStudio),

Ну понятно, поумничать могут все, а привести пример своего кода не хотят или не могут.

сорян, но мой код не влезет в лимиты сайта. да и отрывок, без цельной картины, не представляет никакого интереса.

примеры я уже привёл, вы просто их не видите.
посмотрите любой вменяемый фреймворк или хотя бы шаблонизатор: выхлоп только в одном месте, ошибки аккумулируются и выводятся в этом выхлопе, а не размазываются по коду.

[DevMan]

Анастасия, да я давно понял, что тебя учить - только портить.
отвечаю только в надежде, что ответ пригодится другим.

Answer 4

[FanatPHP]

Просто разве это не защитит меня от человека, который просто поймёт как он генерируется.

Надо понимать, что весь этот детский лепет, что с "шифрованием", что с "токенами", что "хеш с солью" не защитит от человека, который тупо посмотрит значение куки в инструментах разработчика.
ну или, если уж говорить о злодеях недостижимого для вас со Спартаком уровня - то есть что-то вроде сообразительного пятиклассника - то сначала запросит твою куку тем же курлом , а потом подставит в запрос

у тебя какой-то просто талант заниматься бессмысленными телодвижениями. то миллисекунды считать, то от "хакиров" защищаться.
Код напиши сначала, чтобы на него хотя бы без слез смотреть можно было
А потом уже озабачивайся защитой от несуществующих угроз

Я все больше склоняюсь к тому что ты тупо троллишь
потому что ну не может человек настолько последовательно ходить по всем граблям, которые только бывают
да еще и упорствовать в желании получать рукояткой по лбу

Comments

[Анастасия]

а вот эта фраза описывает мою жизнь)))

ну не может человек настолько последовательно ходить по всем граблям, которые только бывают

[FanatPHP]

удачи с чем? взять это значение и прислать обратно?
это по-твоему так трудно? ты это серьёзно?