Изучая лучший способ очистки данных HTML-формы, я обнаружил, что вы должны «ФИЛЬТРОВАТЬ ВВОД» и «ИЗМЕНЯТЬ ВЫВОД».
К сожалению, большая часть информации по этой теме, что есть, является старой информацией (PHP 4.x, 2009 и т.д.). Многие веб-страницы рекомендуют mysql_real_escape_string
, который устарел с PHP 5.5.0.
Я использую PHP 5.5.x, веб-сервер Apache и базу данных MySQL. Я использую подготовленные операторы PDO. Все наборы символов UTF-8.
Я просмотрел фильтры PHP Sanitize (найденные здесь: http://www.php.net/manual/en/filter.filters.sanitize.php).
Я отфильтровал все входные данные и избежал всех выходных данных, кроме моих текстовых областей. Текстовые области предназначены для пользователя, чтобы «описать событие». Они довольно большие — 500 символов. Это единственное место, которое я считаю наиболее уязвимым для вредоносного кода.
Первое, что я делаю со всеми входными данными, — это функция trim()
.
Какие фильтры лучше всего запускать на входе?
Как мне избежать вывода?
Я хочу, чтобы вывод был читаемым.
Заранее спасибо.