экранирование ввода в php

Question

Я написал код ... но теперь я не знаю, какая версия лучше .. Есть ли вероятность, что в 1-й версии мой код уязвим?

Версия 1:

$destination = $_POST['var'];
$destination = strip_tags(trim($destination));

Версия 2:

$destination = strip_tags(trim($_POST['var']));

Answer 1

Поскольку ни strip_tags, ни trim не изменяют входную строку, между двумя версиями нет абсолютно никакой разницы .

Answer 2

Обе версии одинаковы с точки зрения уязвимости.Если вас беспокоит инъекция, вы можете включить addlashes ().

Что лучше?Версия 2 будет на самом деле немного быстрее.Установка другой переменной - это просто ненужный шаг в этом процессе.Я бы предположил, что версия 1, хотя и не технически неправильная, является плохой практикой.Несмотря на то, что полученное значение одинаково.

Answer 3

Ну, strip_tags все еще можно использовать.Немного лучшим решением может быть следующее:

$destination = htmlentities(trim($_POST['var']));

Однако этого по-прежнему недостаточно, если $ _POST ['var'] войдет в базу данных, необходимо выполнить дополнительную работу.

Убедитесь, что вы понимаете, что именно делает htmlentities (), прежде чем внедрять его в свой код на рабочем уровне.

Answer 4

Обе версии означают то же самое, вы можете использовать любую. По моему мнению, вы должны использовать filter_var , чтобы отфильтровать входную строку ...

Answer 5

Оба фрагмента одинаковы. Некоторые люди скажут, что первое лучше для удобочитаемости, а некоторые скажут, что второе лучше для краткости.

Answer 6

Они оба абсолютно одинаковы.
Для чего вы избегаете ввода? База данных? XSS?