[PHP]filtrowanie zmiennych z paska adresu Opcje

[Testosteron]

Witam. Napisałem taki oto szkielet skryptu weryfikacji adresu email:

[PHP] pobierz, plaintext 
<?php
include('lang\polish.inc');
include('function.inc');
$code = substr($_GET['v'], 0, 10);
$id = substr($_GET['v'], 10);
 
connect();
$weryfikacja = mysql_query("SELECT id, code FROM users WHERE id='" .$id. "' and code='" .$code. "'");
$potwierdzenie = mysql_num_rows($weryfikacja);
 
If($potwierdzenie == 1)
{
	$aktywuj = mysql_query("UPDATE users SET activate='1' WHERE id = '" .$id. "'");
 
	If ($aktywuj)
	{
		echo 'Konto zostało aktywowane';
	}
	else
	{
		echo 'Wystąpił nieoczekiwany błąd. Nie udało się aktywować konta';
	}
}
else
{
	echo 'Nieprawidłowy kod aktywacyjny';
}
 
?>
[PHP] pobierz, plaintext 

Kod działa poprawnie. Problem powstaje w momencie, kiedy chcę sprawdzić poprawność zmiennych, np. funkcją is_int. Za każdym razem funkcja zwraca wartość false. Dlaczego tak się dzieje?

[b4rt3kk]

Bo w tym momencie $code jest stringiem:

[PHP] pobierz, plaintext 
$code = substr($_GET['v'], 0, 10);
[PHP] pobierz, plaintext 

jak zresztą sam wiesz, bo używasz funkcji substr, czyli wycinasz string ze stringa, gdzie wartość wyjściowa również jest stringiem.

Weryfikacji możesz dokonać za pomocą preg_match:

[PHP] pobierz, plaintext 
$pattern = '/^[0-9]{4}$/';
if (preg_match($pattern, $code) == 1) echo 'ok';
[PHP] pobierz, plaintext 

gdzie {4} (przykładowo) to długość jaką powinien mieć Twój kod.

Ten post edytował b4rt3kk 6.10.2012, 11:39:42

[bostaf]

Weryfikacji możesz dokonać za pomocą preg_match:

[PHP] pobierz, plaintext 
$pattern = '/^[0-9]{4}$/';
if (preg_match($pattern, $code) == 1) echo 'ok';
[PHP] pobierz, plaintext 

gdzie {4} (przykładowo) to długość jaką powinien mieć Twój kod.

Albo konwertować string do integera za pomocą funkcji intval:

[PHP] pobierz, plaintext 
$id = intval(substr($_GET['v'], 10));
[PHP] pobierz, plaintext 

Zwróć uwagę, że jeśli konwersja się nie powiedzie to funkcja intval zwróci integer 0, co może być problemem jeśli pole id w Twojej tabeli może przyjmować wartość 0.

Ten post edytował bostaf 6.10.2012, 12:04:30

[b4rt3kk]

Albo konwertować string do integera za pomocą funkcji intval:

[PHP] pobierz, plaintext 
$id = intval(substr($_GET['v'], 10));
[PHP] pobierz, plaintext 

Zwróć uwagę, że jeśli konwersja się nie powiedzie to funkcja intval zwróci integer 0, co może być problemem jeśli pole id w Twojej tabeli może przyjmować wartość 0.

Nie sądzę by w tym przypadku konwersja do int spełniała swoją rolę, bo to nie zweryfikuje danych z GET. Jeśli użytkownik spreparuje link i da np. 12rt6897 to konwersja do int zwróci 12.

[Testosteron]

Dzięki za pomoc, tylko nie rozumiem jednego. Jeżeli przesyłam dane z formularza to bezproblemowo mogę użyć funkcji is_int

Nie sądzę by w tym przypadku konwersja do int spełniała swoją rolę, bo to nie zweryfikuje danych z GET. Jeśli użytkownik spreparuje link i da np. 12rt6897 to konwersja do int zwróci 12.

Z drugiej jednak strony jeżeli funkcja utnie część kodu spreparowanego przez użytkownika to kod będzie niekompletny i na którymś etapie także zostanie zgłoszony błąd

[bostaf]

Nie sądzę by w tym przypadku konwersja do int spełniała swoją rolę, bo to nie zweryfikuje danych z GET. Jeśli użytkownik spreparuje link i da np. 12rt6897 to konwersja do int zwróci 12.

Dobra uwaga, dzięki. Ale wtedy weryfikacja code z id prawdopodobnie nie powiodłaby się (WHERE id='" .$id. "' and code='" .$code. "'"), ale to tylko "prawdopodobnie". Najlepiej byłoby tu przekazać code i id w osobnych zmiennych i sprawdzać ich poprawność według zaplanowanego wzorca wyrażeniem regularnym, tak jak zaproponowałeś.

[b4rt3kk]

Dzięki za pomoc, tylko nie rozumiem jednego. Jeżeli przesyłam dane z formularza to bezproblemowo mogę użyć funkcji is_int

Z drugiej jednak strony jeżeli funkcja utnie część kodu spreparowanego przez użytkownika to kod będzie niekompletny i na którymś etapie także zostanie zgłoszony błąd

Jak wiesz PHP automatycznie nadaje typ zmiennej.

[PHP] pobierz, plaintext 
$variable = $_POST['jakas_nazwa']; // załóżmy ze w POST masz 123, takie przypisanie spowoduje, że zmienna będzie typu int 
echo gettype($variable);
$variable = "$variable"; // a takie przypisanie spowoduje, że zmienna będzie traktowana już jako string
echo gettype($variable);
[PHP] pobierz, plaintext 

Poza tym funkcja substr() jak można przeczytać w manualu operuje na stringach i zwracaną wartością jest również string.

[bostaf]

[PHP] pobierz, plaintext 
$variable = $_POST['jakas_nazwa']; // załóżmy ze w POST masz 123, takie przypisanie spowoduje, że zmienna będzie typu int
[PHP] pobierz, plaintext 

Mogę się mylić bo nie potrafię w manualu znaleźć tej informacji, ale zmienne POST i GET są zawsze stringami. Zatem takie przypisane zwróci również string(3) "123". Nawet jeśli wartość w formularzu będzie przypisana bez cudzysłowów, w taki sposób:

[HTML] pobierz, plaintext 
<input type="hidden" name="jakas_nazwa" value=123>
[HTML] pobierz, plaintext 

Znalazłem jeszcze inny sposób na zwalidowanie integera, ale tylko od PHP5.2: użycie funkcji filter_var z rozszerzenia filter:

[PHP] pobierz, plaintext 
$id = filter_var(substr($_GET['v'], 10), FILTER_VALIDATE_INT);
[PHP] pobierz, plaintext 

Tej funkcji już się nie da oszukać spreparowanym kodem, bo zwróci false.