Cześć, tworze system ankiet i przypadkiem zdałem sobie sprawę z względnie paskudnej luki, którą popełniłem w wielu miejscach...

Jeżeli chcemy dodać post, wpis lub cokolwiek innego to tworzymy formularz HTML <form>, a następnie odbieramy za pomocą PHP.
Teraz, jeżeli chcemy ograniczyć liczbę wpisów z danego formularza do wyłącznie jednego, to złym sposobem jest robienie tego za pomocą samego ukrycia/zlikwidowania/zablokowania formularza w HTML, bo daną treść można wstrzyknąć zdalnie... Wiem, że to pewnie dla większości z Was oczywistość, ale może ktoś nowy to przeczyta i będzie bardziej świadomy problemu, a ja chce tym wątkiem poruszyć temat możliwej obrony przed zdalnym wstrzykiwaniem danych do tego typu formularzy.

Jak się bronić przed kolejnym wstrzyknięciem treści?
Najprostszy i najskuteczniejszy sposób jaki przychodzi mi do głowy, to po walidacji danych, tuż przed wykonaniem INSERT'u do SQL należy zapytać baze czy nie ma wcześniejszego wpisu od danego ID, który chce dokonać kolejnego (zakazanego) wpisu.

Przykładowy kod poglądowy wygląda tak:

[PHP] pobierz, plaintext 
if((!empty($_POST['tresc']) AND !empty($_POST['id']) AND $_POST['csrf']==$_SESSION['csrf']){
 
	$id = (int)$_POST['id'];
	$tresc = walidacja($_POST['tresc']);	
	$tresc = mysqli_real_escape_string($con,$tresc);
 
	$INSERT = "INSERT INTO `przyklad` (`prosty`,`id`) VALUES ('$tresc','$id');";	
 
	$WymaganeSprawdzeniePrzedInsert = 'SELECT id FROM `przyklad` WHERE `id`='$id';';
 
	if ($result = mysqli_query($con, $WymaganeSprawdzeniePrzedInsert)){
		if(!mysqli_num_rows($result)){	
			mysqli_query($con, $INSERT);
		}
	}
}
[PHP] pobierz, plaintext 

Teraz mam dwa pytania:
1. Czy mogę skutecznie określić lokalizację w PHP przy odbiorze danych, skąd dokładnie dane zostały wysłane (w sensie z jakiego pliku)? oraz czy będzie to wystarczające żeby ograniczyć wstrzykiwanie z zewnątrz? Jeżeli można to zapoda ktoś przykład?
2. Czy istnieje jeszcze jakiś dodatkowy sposób na pomocną walidację danych?

1. Waliduj z użyciem PDO:

[PHP] pobierz, plaintext 
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email AND status=:status');
$stmt->execute(['email' => $email, 'status' => $status]);
$user = $stmt->fetch();
[PHP] pobierz, plaintext 

Unikniesz SQL Injection, a wcześniej sprawdzać możesz dzięki takim funkcjom jak:

[PHP] pobierz, plaintext 
filter_input(INPUT_POST, $email, FILTER_VALIDATE_EMAIL)
[PHP] pobierz, plaintext 

2. Wpisy do bazy danych nie muszą mieć inkrementacji ID w formie kolejnych numerów, użyj UUID dzięki temu, unikniesz możliwości powtórzenia tego samego ID, oraz ekstramalnie trudne będzie wyszukiwanie wpisów/kont użytkowników tylko po identyfikatorze liczbowym.
Szansa że wygeneruje się ten sam UUID to jak 1 do słońca w milimetrach.