Całościowe filtrowanie danych Opcje

[Kildyt]

Cześć! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Piszę aktualnie nowe jądro i chcę przy użyciu jeden funkcji przefiltrować dane pod wieloma względami (html, mysql itp.).

Poczytałem trochę na w internecie o filtrowaniu danych, nawet znalazłem bardzo prosty i zrozumiały wykres: link w .pdf.

Napisałem funkcję filter i wygląda ona tak:

[PHP] pobierz, plaintext 
<?php
function filter($give, $type) {
    if (!$type OR is_string($type)) {
        $error = new error;
        
        $error -> show('Nie podałeś typu zmiennej podczas filtrowania danych! 1 - string (tekst), 2 - int (liczba całkowita)', '1');
    }
    
    if ($type == "2") {
        $type = "is_int";
    }
    
    if ($type == "1") {
        $type = "is_string";
    }
    
    $give = stripslashes(escapeshellcmd(strip_tags(htmlspecialchars(mysql_real_escape_string(urlencode($give))))));
    
    if ($type($give)) {
        return $give;
    } else {
        $error = new error;
        
        $error -> show('Zawartość zmiennej różni się od jej typu! 1 - string (tekst), 2 - int (liczba całkowita)', '1');
    }
}
?>
[PHP] pobierz, plaintext 

Przykładowe zastosowanie funkcji to:

[PHP] pobierz, plaintext 
<?php
$title = filter($_GET['title'], 1);
$id = filter($_GET['id'], 2);
?>
[PHP] pobierz, plaintext 

Spis zastosowanych funkcji do przefiltrowania zmiennej (w kolejności zastosowania): stripslashes, escapeshellcmd, strip_tags, htmlspecialchars, mysql_real_escape_string, urlencode.

Jak myślicie, czy ten skrypt jest poprawny? Zmienić szereg wykonywanych funkcji, może jakąś dodać, lub usunąć?

Ten post edytował Kildyt 4.10.2008, 15:34:51

[zimi]

może opisowo
w skrócie... nie ubezpieczasz domu od "kradzieży samochodu", ani samochodu "od katastrof budowlanych"

każda z funkcji którą użyłeś w łańcuchu swoich funkcji służy do innych operacji co już napisałem
jak chcesz wykorzystać dane w zapytaniach do bazy to bierzesz mysql_real_escape_string (i z reguły tylko tą!)
a jak chcesz użyć z polecenia exec, system etc. to używasz escapeshellcmd (i z reguły tylko tą!)
choć jestem sobie w stanie wyobrazić jak tego mógłbym użyć razem to nie ma to większego sensu

"ubezpieczasz" dane w swoim skrypcie od tego od czego są narażone..., a nie od wszystkiego niezależnie czym są i jak używasz...

Jeśli nadal nie rozumiesz to przeczytaj dokumentacje wszystkich funkcji które użyłeś... potem jeszcze raz moje odpowiedzi
a potem ew. przetestuj działanie kodu:

[PHP] pobierz, plaintext 
<?php
$zmienna = 'asdf"asdf';
echo $zmienna = mysql_escape_string($zmienna);
echo $zmienna = striplslashes($zmienna);
?>
[PHP] pobierz, plaintext 

i wyciągnij wnioski

Ten post edytował zimi 5.10.2008, 13:32:31