[PHP/MySQL] _POST _GET loopen voor veiligheid

Dat is toch heel normaal om te doen? Ik gebruik altijd casts om ervoor te zorgen dat ik geen sql injecties krijg. User input nooit vertrouwen, dus wat jij doet is niet echt onveilig. Als je nou vroeg om $_GET en $_POST globaal te maken zou ik je voor gek verklaren.

ligt eraan wat getSaveInput() doet natuurlijk
daarnaast zou ik niet zo snel de originele input willen mishandelen, want vaak wil je juist de exacte waarden hebben

Verwijderd schreef op donderdag 14 april 2005 @ 15:25:
Dat is toch heel normaal om te doen? Ik gebruik altijd casts om ervoor te zorgen dat ik geen sql injecties krijg. User input nooit vertrouwen, dus wat jij doet is niet echt onveilig. Als je nou vroeg om $_GET en $_POST globaal te maken zou ik je voor gek verklaren.

SQL injecties voorkom je met mysql_escape_string bij het bouwen van je query, dat moet je niet eerder doen imo
en $_GET en $_POST zijn al globaal

[ Voor 62% gewijzigd door Erkens op 14-04-2005 15:27 ]

Mir schreef op donderdag 14 april 2005 @ 15:35:
Of ga ik voor de situatie dat ik zeker weet dat wát er in mijn _POST/_GET zit gewoon al veilig is.

wat daarin zit is nooit veilig, maar het ligt er maar aan waar je die info voor nodig hebt.
Als het naar je database moet, dan gebruik je iets als mysql_escape_string, en moet het terug naar de browser, dan gebruik je htmlentities etc etc.
Daarom pas ik die gegevens nooit aan, je wilt de gegevens zo puur mogelijk houden.

Ik acht het zonde van de parsetijd om altijd alle vars na te lopen, ik doe dit liever op het moment dat ik deze nodig heb.

Stel je kunt via de GET meegeven welke pagina je wilt hebben, dan vang ik dat af met bijv;

waarna ik doe wat ik moet doen om de gevraagde pagina te tonen. Verwacht in een string, gooi ik er een eregi("[[:allnum:]]", $_GET['var']) overheen, etc.
Dan kan iemand zelf vars in de URL gaan plakken of zelf pagina's maken die naar mijn script submitten.. ik kijk alleen naar de vars die ik verwacht op de plek waar ik ze nodig heb

frickY schreef op donderdag 14 april 2005 @ 15:51:
Ik acht het zonde van de parsetijd om altijd alle vars na te lopen, ik doe dit liever op het moment dat ik deze nodig heb.

Stel je kunt via de GET meegeven welke pagina je wilt hebben, dan vang ik dat af met bijv;

PHP:

1 2	if(isset($_GET['page']) && is_numeric($_GET['page'])) { }

waarna ik doe wat ik moet doen om de gevraagde pagina te tonen.

het is zeker niet onveilig wat je doet maar het kan wel parsetime kosten. verder is het helemaal niet zeker of het nodig is om alle waardes veilig te maken. wat ik altijd doe is het zaakje controleren waar ik het nodig heb, want op sommige plaatsen maakt het helemaal niks uit. je moet in ieder geval nooit userinput vertrouwen.