Forum PHP.pl

Witam!

Od dłuższego czasu piszę panel admin. pod jedną ze stronek i chciałbym zrobić to jak najlepiej Mam pytanie odnośnie walidacji. Tak sprawdzam kod tego co już zrobiłem i w sumie wychodzi na to, że czasami sprawdzam to samo w 2 miejscach.

Mam stronę X.php, w niej pokazuję co jest już ew. w bazie i na żądanie daje linki do 'przełącznika' formularzy dodawania/edycji/usuwania danej rzeczy. Poniżej akurat form usunięcia opisu. I tu sprawdzam już czy użytkownik nie manipuluje linkiem, czy wprowadzone dane są poprawne itd. i przesyłam do strony transakcji transact.php gdzie w sumie sprawdzam często ponownie to samo i tu własnie moje pytanie - jest sens w sumie sprawdzać 2x te same rzeczy? issety, empty, is_numeric? Czy w zasadzie sprawdzać to wszystko dopiero w transact.php?

x.php

[PHP] pobierz, plaintext 
(...)
elseif (!empty($_GET['description']) || isset($_GET['description']) && array_key_exists('description', $_GET)) {
 
    if(!empty($_GET['id']))	
	   $id = $_GET['id'];
 
    switch ($_GET['description']) {
 
       (...)
 
        case 'd':
            if(!is_numeric($id) && !isset($id) && empty($id)) {
                AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
                header('Location: ?p=about');
                break;
            }
            $d_query = "SELECT * FROM about WHERE id = $id";
            $d_result = mysqli_query($connect, $d_query);
            if(!$d_result) {
			    AddReport('error', '<b>Błąd</b> - Bład podczas połączenia z bazą danych, spróbój ponownie później');
                header('Location: ?p=about');
                break;
            }
            if (1 == mysqli_affected_rows($connect)) {
					$description_d = <<< DeleteDescription
							<legend>Czy napewno chcesz usunąć opis?</legend>\n
							<input type="hidden" name="id" value="$id" />\n
							<input type="hidden" name="action" value="description_d" />\n
	                        <input type="submit" value="Usuń" />\n         
                            <input type="button" value="Powrót" onClick="history.go(-1)" />\n
DeleteDescription;
			} else {
				AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
				header('Location: ?p=about');
	        }
        break;
 
(...)
[PHP] pobierz, plaintext 

transact.php

[PHP] pobierz, plaintext 
 
foreach ($_POST as $key => $value) {
	$$key = $value;
}
$stack = array('about, products, contact, slider');
if (isset($_GET['p']) && !empty($_GET['p']) && in_array($_GET['p'], $stack) 
 && isset($_POST['action']) && !empty($_POST['action']) ) {
 
    $directory = $_GET['p'];
 
	switch ($_GET['p']) {
 
        //       ---------------
		// ======     ABOUT     ========================================================================= //
        //       ---------------
 
        case 'about':
			$redirect = '../admin.php?p=about';
			switch ($_POST['action']) {	
 
                               (...)
 
				case 'description_d':
					$query = "SELECT id FROM about WHERE id = $id";
					$result = mysqli_query($connect, $query);
					if (!isset($id) || empty($id) || !is_numeric($id) || 0 === mysqli_affected_rows($connect)) {
						AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
					}
                    mysqli_free_result($result);
                    if (empty($_SESSION['reports'])) {					
    					$query = "DELETE FROM about WHERE id = $id LIMIT 1";
    					$result = mysqli_query($connect, $query);
    					if (!$result)
    						AddReport('error', '<b>Błąd</b> - Bład podczas połączenia z bazą danych, spróbój ponownie później'); 
                    }  
					if (empty($_SESSION['reports']))        
						AddReport('successs', "<b>Opis usunięty pomyślnie</b>"); 
					else 
						$redirect .= "&link=d&id=$id";	
				break;
 
                 (...)
 
[PHP] pobierz, plaintext 

Fajna wskazówka, pozmieniam.

@up
haha tyle się naczytałem postów na forum, że niby to i później jeszcze to radzili, a później coś jeszcze i tak jakoś wyszło

No ok, ale w sumie nie o to tez chodzi
Podczas generowania formularza w x.php sprawdzam isset, empty bla bla i czy jest w bazie owy opis, i później w transact.php w zasadzie to samo. Pytanie czy to ma sens? Czy dopiero to wszystko w transact.php sprawdzać, a w x.php .. no właśnie co Trochę się to rozrosło i przyznam się że się trochę już pogubiłem

Ten post edytował nait 6.09.2012, 14:19:31

Przestań jęzorować.... czy w czasie normalnej rozmowy z drugim człowiekiem twarzą w twarz, też co drugie zdanie pokazujesz temu komuś język?

Sprawdzać należy na każdym etapie, gdy odbierasz jakieś dane od użytkownika. Jak będziesz coś sprawdzał dopiero w ostatnim etapie, to pierwszy lepszy haker zrobi ci kuku na etapach, na których nie sprawdzasz.

Tak testowałem to co wyżej pisałeś i nie wystarczy samo if($id) w sumie? Jak będzie to coś poza liczbą daje 0 czyli w if warunek i tak nie będzie spełniony?

if(empty($id)) {
załatwia wszystko. Co ci nie pasuje? Czy dasz 0, czy nie dasz nic, czy dasz tekst to wszystko to ci wejdzie w ten IF.

Mój błąd źle sprawdziłem.
Mam jeszcze jedno pytanie. Która wersja? Sry za trucie ale wolę nabierać dobrych nawyków.
1 v ciut dłuższa ale po co wykonywać zapytanie do bazy jeśli id i tak będzie fake.

[PHP] pobierz, plaintext 
if(empty($id)) {
    AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
	break;
}
$query = "SELECT id FROM about WHERE id = $id";
$result = mysqli_query($connect, $query);
if (0 === mysqli_affected_rows($connect)) {
	AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
}
[PHP] pobierz, plaintext 

czy

[PHP] pobierz, plaintext 
$query = "SELECT id FROM about WHERE id = $id";
$result = mysqli_query($connect, $query);
if (empty($id) || 0 === mysqli_affected_rows($connect)) {
	AddReport('error', '<b>Błąd</b> - Opis nie istnieje');
}
[PHP] pobierz, plaintext 

Jest trochę późno i mogę już nie myśleć już trzeźwo więc wybacz

[PHP] pobierz, plaintext 
if (!is_numeric($x) && !empty($x) || 
    !is_numeric($y) && !empty($y) ||
    !is_numeric($h) && !empty($h) ||
    !is_numeric($w) && !empty($w)) {
    AddReport('error', '<b>Błąd</b> - Błąd podczas pobierania wymiarów obrazka ');
    break;
}
[PHP] pobierz, plaintext 

Da się to jakoś uprościć? Tricku z (int) nie mogę zastosować bo pola mogą być puste, gdy obrazek nie jest przycinany, bądź może wystąpić zero gdy jest.

Ten post edytował nait 7.09.2012, 23:33:43

No skoro $id jest błędne to nie ma sesnu jeszcze lecieć do bazy i go sprawdzać - logiczne