Функция filter_var
с параметром FILTER_SANITIZE_STRING
является приемлемым средством для дезинфекции входов базы данных?Обработка данных формы PHP
Я пользуюсь следующим при получении ввода от формы и хотел бы узнать, считается ли это приемлемой практикой.
Я знаю, что в идеале следует использовать параметризованный интерфейс, но мне любопытно, какие альтернативы при наличии приемлемых альтернатив этому подходу.
$this->fname = filter_var($this->fname, FILTER_SANITIZE_STRING);
Для дезинфекции данных, поступающих в базу данных. Поскольку вы используете php. Я бы порекомендовал вам использовать первые подготовленные заявления PDO, что снижает риск инъекций sql, а также вы должны использовать методы очистки входных данных на стороне клиента. – Mubo
У меня есть проверка JavaScript на поля формы, но я бы идеально хотел бы иметь еще один слой между формой и базой данных. – morris295
Это кажется мне хорошим. Для серверной стороны при использовании php. PDO и подготовленные заявления действительно хороши до сих пор и выполняют эту работу. Этого должно быть достаточно, я думаю, – Mubo