Для того, чтобы каждый раз не инициализировать и не обезвреживать переменные GET и POST сделал вот такую универсальную вещицу:
foreach ($_GET as $key => $value)
{
$$key = (empty($_GET[$key])) ? 'default' : strip_tags($value);
};
foreach ($_POST as $key => $value)
{
$$key = (empty($_POST[$key])) ? 'default' : strip_tags($value);
};
Покритикуйте. Что можно добавить? Есть ли минусы? Нужно ли еще чем-то помимо strip_tags обработать $value, чтобы точно не пропустить никакой заразы?
Спустя 6 минут, 59 секунд (14.02.2011 - 05:34) inpost написал(а):
Слушай, ТС, чтобы выделить текст используй такой код:
<strong>text</strong>
Так вот, если вести себя так, то я ты увидишь лишь TEXT, без стронга - это фейл!
А если будут не XSS атаку производить, а SQL-инъекцию, то твоя обработка тоже не поможет.
+
Внимание
Так как strip_tags() не проверяет корректность HTML кода, незавершенные тэги могу привести к удалению текста, не входящего в тэги.
<strong>text</strong>
Так вот, если вести себя так, то я ты увидишь лишь TEXT, без стронга - это фейл!
А если будут не XSS атаку производить, а SQL-инъекцию, то твоя обработка тоже не поможет.
+
Внимание
Так как strip_tags() не проверяет корректность HTML кода, незавершенные тэги могу привести к удалению текста, не входящего в тэги.
Спустя 3 минуты, 12 секунд (14.02.2011 - 05:37) Гость_User написал(а):
Чем вместо strip_tags обработать получаемые данные?
Регулярными выражениями?
Регулярными выражениями?
Спустя 5 минут, 2 секунды (14.02.2011 - 05:42) inpost написал(а):
На форуме есть раздел безопасности, посмотри там. Каждый случай - уникальный.
Спустя 1 минута, 22 секунды (14.02.2011 - 05:43) Гость_User написал(а):
Понятно. Сейчас гляну.
А вообще, если обработать нормально входные данные, то этот вариант обработки можно использовать?
А вообще, если обработать нормально входные данные, то этот вариант обработки можно использовать?