ugrás a tartalomhoz

Felhasználótól érkező adatokat mikor szűrjem?

Anonymous · 2006. Aug. 24. (Cs), 12.01
hali,

usertol jovo adatokat, csak akkor kell htmlentities-es formazni, ha a kimenetre oldalra szeretnem irni? Vagy az elott is celszeru, amikor az adatait a sessionba irom? Nem tudom, hogy ott tudnak-e trukkozni...
koszonom
‹ string-ből tömb címzés Egyik gépen jo a php a másikon nem... ›
 
1

csak egy megjegyzés

toxin · 2006. Aug. 24. (Cs), 12.18
nem célszerűbb egyszer befele menet, még tárolás előtt, mint sokszor kifele menet?

magyarán minden egpcs(environment,get,post,cookie,server)var-t befele ellenőrzni, szvsz
2

re

Anonymous · 2006. Aug. 24. (Cs), 12.55
vegul is igen
3

nem jó megközelítés

Hodicska Gergely · 2006. Aug. 24. (Cs), 13.48
Szerintem ez alapvetően nem jó elképzelés, mert akkor az adatbázisodban (vagy ahol tárolod az adatokat) már escapelt formában lesznek benne az adatok, viszont egy egyszerűbb oldal esetén is ugyanaz az adat töb féle kimenetre is kerülhet majd, és ezen kimenetek esetén eltérő escapelési mechanizmusra lesz szükséged. Ezért szerintem alap esetben a DB-ben legyenek tiszta adatok, és megjelenítés esetén pedig legyenek megfelelően escapelve. Aztán ha bármi egyéb dolog megköveteli (teljesítmény stb.), akkor esetleg lehet gondolkodni valamilyen plusz láncszem beépítésében.

Eredeti kérdezőnek: ha UTF-8-at használsz, akkor a htmlentities teljesen fölösleges, simán elég a htmlspecialchars, de egyéb esetekben is ha rendesen kezelve van a charset az oldalon, akkor elég ez utóbbi.


Felhő
4

csak általánosságban

toxin · 2006. Aug. 24. (Cs), 14.52
szóltam hozzá, arra nem gondoltam hogy a karakterek letárolási formáját bemeneten megváltoztassam, csak a törlés jellegű műveletek halmazára : strip_tags és holdudvara, konkrét letárolást már burkolóosztályok végzik spec. nálam, az ő felelősségük, hogy get-set műveletekkel irányítva szolgáltassák(kifele/befele) az aktuális végrehajtó logika számára a használható adatokat (mvc modellben gondolkozva,dolgozva több szinten is kódon belül)