[X] Помощник

[НЕПЛОХОЙ Topic Starter]

В этой теме я бы хотел обсудить проверку (обработку) входящих данных, как на ваш взгляд будет надежднее?

лично я обычно использую вот такие конструкции.

ЕСЛИ ДАННЫЕ ЧИСЛОВЫЕ:
[php]$id = (int)$_GET['id'];[/php]
или
[php]if(!preg_match("/[0-9]/",$id)) {
echo "Не корректный запрос";
exit();
}[/php]

ЕСЛИ ДАННЫЕ СТРОКОВЫЕ:
[php]$page = $_GET['page'];
$page = htmlspecialchars($page);
$page = str_replace("update","",$page);[/php]
или
[php]if(!preg_match("/[A-Za-z0-9]/",$page)) {
echo "Не корректный запрос";
exit();
}[/php]

[v1ex]

Конечно-же регулярки безопасней. В случае:
[php]$id = (int)$_GET['id'];[/php]
Что если в $_GET['id'] будет значение "ха-ха"?

[php]$page = str_replace("update","",$page);[/php]
А это, что вы делаете, я не понял?


И еще у вас не правильные регулярки:

/^[0-9]+$/
/^[a-z0-9]+$/i

^ - значит начало слова;
$ - конец;
i - игнорировать регистр

А в вашем случае, если просто, что-нибудь, где-нибудь встречается удолетворяющее выражению, будет возвращено true.

[НЕПЛОХОЙ Topic Starter]

Что если в $_GET['id'] будет значение "ха-ха"?

ничего не будет, id=0, только что проверил.

$page = str_replace("update","",$page);
А это, что вы делаете, я не понял?

вырезает слово "update" эту проверку я на днях вырезал из какого то движка и не сильно разбирался в чем суть...

^ - значит начало слова;
$ - конец;
i - игнорировать регистр

а вот за небольшую лекцию по регуляркам спасибо не сильно я в них разбираюсь...

[v1ex]

вырезает слово "update" smile.gif эту проверку я на днях вырезал из какого то движка и не сильно разбирался в чем суть...

Ну я понял, что вырезает )) Я просто не понял зачем Видимо какая-то "защита" от SQL инъекций

[FordogeN]

я тоже так понял, но я думаю тогда еще нужно чтоб вырезало DELETE

[ZiTosS]

Евгений,
Не наглядно
[php]$id = (int)$_GET['id'];[/php]
Я бы писал так:
[php]$id = isset($_GET['id']) ? intval($_GET['id']) : 0;[/php]
или просто так, если уверен что переменная существует
[php]$id = intval($_GET['id']);[/php]
Зачем использовать приведение типов, если существует стандартная функция.

[php]$page = isset($_GET['page']) ? mysql_escape_string($_GET['page']) : "";[/php]
или
[php]$page = isset($_GET['page']) ? addslashes($_GET['page']) : "";[/php]
Вот и вся защита от SQL-инъекций. Сами подумайте, если вы уже проэкранировали спецсимволы, то строка уже обязательно будет строкой, никакие5 конструкции не выполнятся... Мы экранировали уже все ковычки.

[WebKiD]

Спасибо, буду разбираться. Действительно очень нужная тема.

[Troy_mw]

Ещё про mysql_escape_string() и mysql_real_escape_string() надо не забывать

[phpuser]

А нельзя описать что это? Для чего использовать? Ну и пару примеров в добавок.
Если не сложно.

[Troy_mw]

1 функция экранирует все символы которые используются в mysql а 2 делает тоже самое только с учётом кодировки