ПХП и валидация данных
#2
Отправлено 02 мая 2007 - 20:42
Я предпочитаю так
$name = get_magic_quotes_gpc() ? stripslashes($_POST['name']) : $_POST['name'];
Сообщение изменено: Vladson (02 мая 2007 - 23:37 )
Вы либо способны перелопатить тонны информации и отсеять лишнее, либо программистом не будете. ©Psih
Не вазелин, а бизнес-гель ©Avagraen
#5
Отправлено 02 мая 2007 - 21:56
Ничего не делается "обычно", всё зависит от ситуации...Обычно в таких случаях используют рекурсивную функцию
Вы либо способны перелопатить тонны информации и отсеять лишнее, либо программистом не будете. ©Psih
Не вазелин, а бизнес-гель ©Avagraen
#6
Отправлено 02 мая 2007 - 22:10
Согласен, но человек имеет свойство забывать обработать какое-то поле, вот тогда ему и не придётся о нём лишний раз вспоминать Например, если через месяц он добавит в форму новое поле. Я просто предлагаю альтернативный вариант, ничего личногоНичего не делается "обычно", всё зависит от ситуации...
P.S. На каком-то сайте я заметил, что экранирование слешей возрастает с каждым сабмитом формы в геометрической прогрессии!
#7
Отправлено 02 мая 2007 - 22:26
Именно по этому проще вообще отрубить через php.ini (если свой сервак) или через .htaccess если shared-хостинг. При каждом запуске пускать рекурсивную функцию это не выход, это вход в (_|_)человек имеет свойство забывать
Вы либо способны перелопатить тонны информации и отсеять лишнее, либо программистом не будете. ©Psih
Не вазелин, а бизнес-гель ©Avagraen
#8
Отправлено 02 мая 2007 - 22:37
Полностью согласенПри каждом запуске пускать рекурсивную функцию это не выход, это вход в (_|_)
Когда-то меня заботили проблемы скорости работы WEB-приложения, но с годами я стал скептически к этому относиться. Рекурсия конечно ни есть хорошо, но будем реалистами - на странице форма, максимум 10 полей, можно быть параноиком и предположить, что какой-то нехороший человек специально сформирует кучу полей, отправит мегабайтный текст методом POST чтобы забомбить наше приложение
В данной ситуации у меня есть другой совет - сменить хостинг, ибо хостинг, где включен magic_quotes - это полный сарай Скоро их вообще запретят!
#9
Отправлено 02 мая 2007 - 23:34
Меня не беспокоит скорость, меня беспокоит рациональность. (искать обходные пути и делать то что делать нет никакого смысла это не в моём стиле)Когда-то меня заботили проблемы скорости работы WEB-приложения
А можно быть реалистом и предусмотреть, чтоб даже теоретически такой "возможности" не было.можно быть параноиком и предположить
Сообщение изменено: Vladson (02 мая 2007 - 23:42 )
Вы либо способны перелопатить тонны информации и отсеять лишнее, либо программистом не будете. ©Psih
Не вазелин, а бизнес-гель ©Avagraen
#10
Отправлено 03 мая 2007 - 12:46
считаю, что разработчик на пхп должен быть параноиком. лучше перебдить, чем недобдитьможно быть параноиком и предположить
сейчас, к сожалению, у меня это пока единственный вариант.В данной ситуации у меня есть другой совет - сменить хостинг, ибо хостинг, где включен magic_quotes - это полный сарай
это не хостинг, а ТТУшный сервер hektor
там я делаю свою дипломную работу. я работал до этого с 10-11 хостингами и нигде с такой проблемой не сталкивался
поэтому удивился и испугался на какой такой радости данные сами по себе прослешиваются
#11
Отправлено 03 мая 2007 - 15:24
В данной ситуации у меня есть другой совет - сменить хостинг, ибо хостинг, где включен magic_quotes - это полный сарай smile.gif Скоро их вообще запретят!
Да, запретят в 6м ПХП.
Но! На хостингах никогда(до ПХП 6) не запретят (по дифолту) мэжик квотс. Просто потому что написанные непонимаюшими эти особенности людьми скрипты можно будет моментально хакнуть SQL инъекцией. А так - хоть какая-то защита.
Те кто понимает в чем дело, смогут либо фунцией очистить поступающие переменные, либо в .htaccess поставить сооствествуюшее значение конфигурации пхп.
#12
Отправлено 03 мая 2007 - 15:50
Да не паранойя это, это просто нормальный взгляд на вещи, если есть скрипт то он должен делать то для чего предназначен, а если у него будут "дополнительные функции" (проще говоря бэкдоры) способные навредить то "это не есть хорошо"...разработчик на пхп должен быть параноиком
Многие думают что написание кода это всё что нужно, между тем на написание кода должно уходить не более 25% времени/средств/нервов затраченных на продукт...
(Проектирование и тестирование неотьемлемая часть любого качественного продукта)
Вы либо способны перелопатить тонны информации и отсеять лишнее, либо программистом не будете. ©Psih
Не вазелин, а бизнес-гель ©Avagraen