zabezpieczenie związane z metodą GET, Jak sprawdzać dane trafiające do bazy danych przez metodę GET Opcje

[Jozjasz]

witam,

Myślę jak napisać skrypt, który będzie sprawdzał długość każdego stringu przesłanego za pomocą GET - Każdego, a nie pojedyńczego, gdzie trzebaby za każdym razem podawać nazwę zmiennej...

Prototyp(niestety nie działający), mógłby wyglądać mniej więcej tak... Proszę o wskazówkę jak sobie z tym poradzić.

[PHP] pobierz, plaintext 
<?php
 
if(isset($_GET)){
 
$dl = $_GET;
 
$ocena = strlen($dl);
if($ocena > 20){
#exit();}
}
 
?>
<a href="abhor.php?dana=dlugoscslowa">link</a>
[PHP] pobierz, plaintext 

PS
Myślę, że dobrym zabezpieczeniem jesli taka zmienna ma trafić do zapytania SQL jest dodatkowo sprawdzenie każdej wartości, czy odpowiada ona tej która znajduje się w bazie danych (oczywiście jeśli jest ich większa ilość, to potrzebne jest połączenie z bazą danych). Np.

[PHP] pobierz, plaintext 
if(isset($_GET['model'])){
$model = strip_tags($_GET['model']);
 
@require_once("polaczeniezbaza.php");
$q = "select nazwa from heroes where hero='latanie' ";
$r = @mysqli_query($connect, $q);
 
while($row = @mysqli_fetch_assoc($r)){
$naz = $row['nazwa'];
if($model == $naz){
$checkme = 1;}
}
if(!isset($checkme)){
header("location: $url_a");
exit();}
 
 
}
[PHP] pobierz, plaintext 

czy stosowanie takich zabezpieczeń ma sens? Proszę o komentarz.

[Jozjasz]

Dzięki, a jeśli chodzi o pierwszy sposób sprawdzania długości wszystkich danych przesyłanych przez metode GET - jest taka możliwość? Czy trzeba za każdym razem odwoływać się indywidualnie do każdej zmiennej i pisać, np. $_GET['nazwazm'] ?