Я начинаю изучать PHP 5 (я всегда использовал PHP 4), и для этого я создаю небольшую (очень легкую) CMS. В руководстве я увидел, что они добавили функции для фильтрации варов. Моя CMS должна обрабатывать некоторый HTML-контент для содержимого страниц. Являются ли эти функции (filter_input, filter_var, ecc ..) достаточно дезинфицирующими фильтрами? Или мне нужно создать более глубокую пользовательскую функцию?Filter php 5 input
Да, этого почти всегда достаточно, чтобы использовать их. Однако, в зависимости от каждого вашего запроса или каждого отображаемого вами содержимого страницы, имейте в виду, что не очень специальные символы также могут вызывать неожиданности. Вкратце,
Sanitizers сделают все для вас (фильтрация низких символов и т. Д.).
Почему вы сказали ему использовать _almost_ ** устаревший ** (способ для уязвимых) 'mysql _ * _ escape_anything' вместо использования PDO ????? Используйте ** PDO ** ради бога! или mysqli в этом отношении – hanzo2001
Так как ему нужно разрешить некоторые HTML, html_special_chars мало помогает ему. –
mysqli в порядке - вот почему я сказал «... и его друзья». PDO - это что-то ненужное на этом уровне. Но все в порядке. – dkellner
Это зависит от ваших потребностей. прочитайте эти фильтры и посмотрите, соответствуют ли они тем, что вам нужно. Если нет, сделайте глубже. –
Если это веб-мастер, который входит в html, вам не нужно его фильтровать. Если это hmlt, написанный любым пользователем (даже зарегистрированным в нем), вам нужно написать html sanitizer. Я лично успешно использовал [Очиститель HTML] (http://htmlpurifier.org/). –