Защита входных данных

@Staz Lincord · Регистрация: 04.12.2013

Студворк — интернет-сервис помощи студентам

Прошу оценить мою функцию для обработки данных. Напишите что можно добавить или убрать.

PHP
1
2
3
function treatment($tt) {
    return strtolower(nl2br(htmlspecialchars(trim($tt), ENT_QUOTES), false));
}

Я её применяю примерно в таких случиях:

PHP
1
2
3
4
$login = treatment($_POST['login']);
$password = treatment($_POST['password']);
 
//ну и дальше с ними работаю

Ну как? Надёжная хрень?

@Jewbacabra · 26.05.2017, 16:37

0 из 10.
Убрать функцию вообще. Для защиты от sql инъекций использовать или escape_string или prepared statements. От xss htmlspecialchars но только перед выводом данных.
Остальные преобразовария выполнять только при необходимости

@arava · 26.05.2017, 17:43

Staz Lincord, прочтите это : Обработка переменных для запроса

@Staz Lincord · 26.05.2017, 22:40 **[ТС]**

Сообщение от Jewbacabra

От xss htmlspecialchars но только перед выводом данных.

Что такое xss? И зачем это надо делать?

Добавлено через 3 минуты
Я где-то слышал что Mysqli сам обрабатывает данные? Так ли это? Спасёт это меня?

PHP
1
mysqli_query($connect, "ЗАРАЗА");

@Jewbacabra · 26.05.2017, 22:45

Сообщение от Staz Lincord

Что такое xss? И зачем это надо делать?

https://ru.wikipedia.org/wiki/... 0%BD%D0%B3

Сообщение от Staz Lincord

Я где-то слышал что Mysqli сам обрабатывает данные? Так ли это?

Не так. Но есть prepared statements, которые позволяют отделять структуру запроса от данных

@Staz Lincord · 26.05.2017, 22:47 **[ТС]**

Что лучше ООП Mysqli или ПП Mysqli? С учетом того что я пишу движок на ПП.
И можно ли писать ООП Mysqli а движок ПП?

Прошу ответьте

@Jewbacabra · 26.05.2017, 22:49

Сообщение от Staz Lincord

Что лучше ООП Mysqli или ПП Mysqli?

Они полностью эквивалентны, могут быть даже смешаны между собой

@Staz Lincord · 26.05.2017, 22:52 **[ТС]**

Jewbacabra,

Сообщение от Staz Lincord

И можно ли писать ООП Mysqli а движок ПП?

@Jewbacabra · 26.05.2017, 22:55

Staz Lincord, можно

Новые блоги и статьи Все статьи Все блоги /
Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .
Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	26.05.2017, 16:37
	Сообщение было отмечено Staz Lincord как решение Решение 0 из 10. Убрать функцию вообще. Для защиты от sql инъекций использовать или escape_string или prepared statements. От xss htmlspecialchars но только перед выводом данных. Остальные преобразовария выполнять только при необходимости 1

@arava 340 / 135 / 70 Регистрация: 30.06.2014 Сообщений: 717
	26.05.2017, 17:43
	Staz Lincord, прочтите это : Обработка переменных для запроса 1

@Staz Lincord 13 / 12 / 8 Регистрация: 04.12.2013 Сообщений: 323
	26.05.2017, 22:47 [ТС]
	Что лучше ООП Mysqli или ПП Mysqli? С учетом того что я пишу движок на ПП. И можно ли писать ООП Mysqli а движок ПП? Прошу ответьте 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	26.05.2017, 22:55
	Сообщение было отмечено Staz Lincord как решение Решение Staz Lincord, можно 1

Защита входных данных

Решение

Решение