Całościowe filtrowanie danych

Całościowe filtrowanie danych

Kildyt Zobacz profil	4.10.2008, 11:31:36 Post #1
Grupa: Zarejestrowani Postów: 869 Pomógł: 53 Dołączył: 20.10.2003 Skąd: Przeworsk Ostrzeżenie: (0%)	Cześć! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Piszę aktualnie nowe jądro i chcę przy użyciu jeden funkcji przefiltrować dane pod wieloma względami (html, mysql itp.). Poczytałem trochę na w internecie o filtrowaniu danych, nawet znalazłem bardzo prosty i zrozumiały wykres: link w .pdf. Napisałem funkcję filter i wygląda ona tak: [PHP] pobierz, plaintext <?php function filter($give, $type) { if (!$type OR is_string($type)) { $error = new error; $error -> show('Nie podałeś typu zmiennej podczas filtrowania danych! 1 - string (tekst), 2 - int (liczba całkowita)', '1'); } if ($type == "2") { $type = "is_int"; } if ($type == "1") { $type = "is_string"; } $give = stripslashes(escapeshellcmd(strip_tags(htmlspecialchars(mysql_real_escape_string(urlencode($give)))))); if ($type($give)) { return $give; } else { $error = new error; $error -> show('Zawartość zmiennej różni się od jej typu! 1 - string (tekst), 2 - int (liczba całkowita)', '1'); } } ?> [PHP] pobierz, plaintext Przykładowe zastosowanie funkcji to: [PHP] pobierz, plaintext <?php $title = filter($_GET['title'], 1); $id = filter($_GET['id'], 2); ?> [PHP] pobierz, plaintext Spis zastosowanych funkcji do przefiltrowania zmiennej (w kolejności zastosowania): stripslashes, escapeshellcmd, strip_tags, htmlspecialchars, mysql_real_escape_string, urlencode. Jak myślicie, czy ten skrypt jest poprawny? Zmienić szereg wykonywanych funkcji, może jakąś dodać, lub usunąć? Ten post edytował Kildyt 4.10.2008, 15:34:51

Odpowiedzi

szagi3891 Zobacz profil	7.10.2008, 08:55:13 Post #2
Grupa: Zarejestrowani Postów: 109 Pomógł: 9 Dołączył: 12.03.2007 Skąd: kraków/tarnobrzeg/baranów/suchorzów Ostrzeżenie: (0%)	Ja bym proponował inną funkcję. Przy założeniu że dane zapisane są w kodowaniu utf-8 i jeśli się trzymamy tego kodowania to warto było by sprawdzić czy tekst jest poprawnie zakodowany. Jakiś robot mógłby dodać syf do bazy bądź w czymś tam. Funkcja którą proponuje sprawdza wpierw sekwencję utf-8 a w przypadku błędnej sekwencji podmienia ją na znak '?' Entecje zamieniane są na znaki w odpowiednim kodowaniu natomiast tylko kilka znaków zawsze jest pozostawianych w postaci entecji. Oczywiści chodzi o znaki które pozostawione same sobie chciały by wejść w interakcję z naszym kodem. [PHP] pobierz, plaintext <?php function clear_text($dane) { $UTF8_BAD = '([x00-x7F]'. # ASCII (including control chars) '\|[xC2-(IMG:http://forum.php.pl/style_emoticons/default/haha.gif) F][x80-xBF]'. # non-overlong 2-byte '\|xE0[xA0-xBF][x80-xBF]'. # excluding overlongs '\|[xE1-xECxEExEF][x80-xBF]{2}'. # straight 3-byte '\|xED[x80-x9F][x80-xBF]'. # excluding surrogates '\|xF0[x90-xBF][x80-xBF]{2}'. # planes 1-3 '\|[xF1-xF3][x80-xBF]{3}'. # planes 4-15 '\|xF4[x80-x8F][x80-xBF]{2}'. # plane 16 '\|(.{1}))'; # invalid byte $temp = ''; while (preg_match('/'.$UTF8_BAD.'/S', $dane, $matches)) { if (!isset($matches[2])) $temp .= $matches[0]; else $temp .= '?'; //zastępienie błednych sekwencji znakiem '?' $dane = substr($dane,strlen($matches[0])); } $dane = $temp; $dane = preg_replace('#[x00-x08x0bx0cx0e-x1f]#si', '', $dane); //usunięcie znaków niewidocznych oprócz entera i tabulacji $dane = preg_replace("#r\n?#", "\n", $dane); //znormalizowanie znaków nowej linii $dane = html_entity_decode($dane, ENT_QUOTES, "utf-8" ); //usunięcie zbędnych entecji $dane = str_replace("&", "&" , $dane); //zabezpieczenie znaków niebezpiecznych $dane = str_replace("<", "<" , $dane); $dane = str_replace(">", ">" , $dane); $dane = str_replace("'", "'" , $dane); $dane = str_replace("`", "´" , $dane); $dane = str_replace('"', """ , $dane); return $dane; } ?> [PHP] pobierz, plaintext tam gdzie jest --- (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) --- powinny być dwa znaki : x D Ten post edytował szagi3891 7.10.2008, 08:56:17