Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php]Filtrowanie danych wyjściowych i wejściowych
Forum PHP.pl > Forum > Przedszkole
qba10
Witam.
Dzisiaj zamierzałem napisać jakąś funkcję odpowiedzialną za filtrowanie danych wejściowych i wyjściowych z bazy danych, ale szukając jakiś informacji na ten temat znalazłem wiele przykładów, które wg. jednych były dobre a wg. drugich niebezpieczne.
Jaki sposób waszym zdaniem jest najlepszy i najwygodniejszy i jakiego sami używacie?

Pozdrawiam
Qba10
bełdzio
http://www.beldzio.com/phpowe-filtry.freez
batman
Odbieranie danych od użytkownika.
1. Wywalaj wszystkie (zdecydowaną większość) znaczników html.
2. Nie używaj bezpośrednio zmiennych $_GET, $_POST i $_COOKIE.
3. Nie polegaj na zmiennych z $_SERVER. Niektóre z nich można zmienić.
4. Zawsze "eskepjpuj" - *_escape_string - dane zapisywane w bazie, ewentualnie używaj zapytań prepared statements.
5. Użytkownik (nie każdy) to szkodnik. Nigdy nie ufaj danym otrzymanym od użytkownika, nawet jeśli wiesz kto to jest (mama, babcia, kolega).

Wysłanie danych do użytkownika.
1. Powinno się wywalać znaki html z danych pobranych z bazy (chyba, że dokładnie wiesz co jest w bazie)

P.S.
Przenoszę na przedszkole.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.