【发布时间】:2011-12-10 22:29:09
【问题描述】:
在清理 POST/GET 数据时,我们是否可以编写一个循环来遍历通用 php 包含文件中的所有设置变量,而不必担心代码中的问题?
我一直使用一个名为 sanitize 的函数来执行此操作,但这似乎是有道理的。
【问题讨论】:
-
没有像“消毒”这样的东西。一旦你做了一些你称之为“清理”的事情——你做错了事,让你的应用容易受到攻击和/或无法使用
标签: php
【发布时间】:2011-12-10 22:29:09
【问题描述】:
您最好在应用程序中创建一个在需要时执行此操作的函数。然后,如果您需要它们,您仍然会拥有原始发布的值,并且您可以根据需要通过传递选项来根据您正在清理的内容修改函数。例如:
function getPostField($field)
{
// all your sanitation and isset/empty checks
$val = sanitize($_REQUEST[$field]);
// ...
return $val;
}
【讨论】:
是的,当然。一些框架会自动执行此操作,并将经过清理的 REQUEST 变量存储在不同的数组或对象中,因此如果需要,原始数据仍然可用。
【讨论】:
-
我应该有一个单独的数据库/非数据库吗?
-
我在我的数据库类中保留所有数据库清理,因此在插入/查询之前检查数据。
-
PHP 曾经有过这个功能......它花了很长时间才被语言禁止。