Какие параметры проверять и какие функции всегда использовать при заполнении формы?

S

Solomon Kane

Постоялец
Регистрация
26 Авг 2009
Сообщения
144
Реакции
9
Вопрос такой, какие параметры и функции следует проверять и использовать всегда при заполнении полей формы, где пользователь может что-то вводить, а не просто выбирать. В голову пока пришли такие:

1) проверять, не пусто ли поле (если надо);

2) trim(), то есть обрезка, чтобы не возникало никаких непредвиденных ситуаций;

3) strip_tags - обрезать теги (если надо);

4) длину (если надо, так как можно задать прямо в html);

5) на соответствие каким-то символам - например, в поле должны строго быть буквы или цифры.

Что ещё?

Прочёл, что ещё иногда проверяют на xss-атаки. Если вкратце, как их могут применять через форму? Плюс хотелось бы знать на счёт JS и других языков. strip_tags() достаточно, чтобы их из формы удалить?
 
Solomon Kane написал(а):
Вопрос такой, какие параметры и функции следует проверять и использовать всегда при заполнении полей формы, где пользователь может что-то вводить, а не просто выбирать. В голову пока пришли такие:
1) проверять, не пусто ли поле (если надо);
2) trim(), то есть обрезка, чтобы не возникало никаких непредвиденных ситуаций;
3) strip_tags - обрезать теги (если надо);
4) длину (если надо, так как можно задать прямо в html);
5) на соответствие каким-то символам - например, в поле должны строго быть буквы или цифры.
Что ещё?
Нажмите для раскрытия...
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Solomon Kane написал(а):
Плюс хотелось бы знать на счёт JS и других языков. strip_tags() достаточно, чтобы их из формы удалить?
Нажмите для раскрытия...
Да.
 
Хотелось бы узнать, что означает {string} в данном случае? Также зачем тут стоит собачка - $data = @strip_tags($data)? И для чего нужен $bad_chars? Кроме того, что на счёт xss-атак?
 
Solomon Kane написал(а):
Хотелось бы узнать, что означает {string} в данном случае?
Нажмите для раскрытия...
(string) - преобразование в строковый тип.
Solomon Kane написал(а):
Также зачем тут стоит собачка - $data = @strip_tags($data)?
Нажмите для раскрытия...
@-подавление сообщения об ошибке. В функции используется на случай если в данных переданных от формы нет никаких тегов.
Solomon Kane написал(а):
И для чего нужен $bad_chars?
Нажмите для раскрытия...
Тут проще
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
обойтись ;)
 
Вырезай начальные и конечные пробелы, да экранируй. Зачем всё остальное?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху