Фильтрация принимаемых GET POST

#1 3 января 2017 в 01:52
На тему безопасности работы с get и post запросами для дальнейшей передачи их в БД.

Для числового значения

$usrid = intval($_REQUEST["usrid"]);
или
$usrid=intval($_GET['usrid']);

для смешанного содержимого (ожидается что оно будет без тегов)

$label = strip_tags($_REQUEST["label"]);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);

$label = strip_tags($_GET['label']);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);

=============


Насколько хорошо?
#2 3 января 2017 в 10:18
Вырезание тегов я бы убрал вообще, а htmlspecialchars делал только при выводе.
Т.е. в базу всё пишем как есть (через escape, разумеется), а фильтруем уже при выводе.
Ведь ничего плохого в принципе нет, если я напишу тег <script> здесь, главное чтобы он не работал
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Похожие темы

Error: apt-get install failed

Флейм / Флуд / Оффтопик Создана 3 года назад 23 сообщения

get запрос

HTML / CSS / PHP / JS / RegExp Создана 2 года назад 7 сообщений

[ЗАКРЫТО] Страницы-дубли с GET-параметрами

SEO & PR Создана 5 месяцев назад 3 сообщения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.