Questo dovrebbe essere una domanda elementare, ma il motivo per cui è meglio usare qualcosa di simile:Perché è meglio usare filter_input()?
$pwd = filter_input(INPUT_POST, 'pwd');
Invece di limitarsi a:
$pwd = $_POST['pwd'];
PS: ho capito che l'estensione del filtro può essere utilizzato con più argomenti per fornire un ulteriore livello di sanificazione.
Non lo è. $_GET, e $_REQUEST sono filtered with default filter. filter_input(INPUT_POST, 'pwd') senza parametri aggiuntivi utilizza anche il filtro predefinito. Quindi non c'è alcuna differenza.
Cercavo in giro 'filter_input' contro' htmlspecialchars' e ho notato che sembra essere obsoleto. La maggior parte delle configurazioni di PHP non filtra più questi dati, il link che pubblichi ha anche il valore di configurazione predefinito impostato come "unsafe_raw" – cspray
@Charles: in entrambi i casi i dati passano attraverso il filtro predefinito, che di default è "unsafe_raw" ' , ma questo non cambia il fatto che usare 'filter_input' senza il parametro' filter' non ti dà alcun ulteriore livello di sicurezza – vartec
Abbastanza corretto Grazie per le informazioni – cspray
Tutti i dati inviati dal client (come i dati POST) devono essere disinfettati e sfuggiti (e anche meglio controllati da integrità) per assicurarsi che non uccidano il sito Web.
SQL Injection e Cross-site scripting sono le due principali minacce per non riuscire a disinfettare i dati inviati dall'utente.
È ancora necessario filter_input() se si utilizzano query con parametri e htmlspecialchars() prima di stampare i dati forniti dall'utente? – Calvin
filter_input (INPUT_POST, 'pwd'); (senza altri argomenti ancora disinfetta il valore? –
@ Ben: in genere hai ragione, ma questa non è una risposta a questa domanda. – vartec
Non è meglio.
Si prega di consultare i documenti sul filter_input http://www.php.net//manual/en/function.filter-input.php
e clicca su "Tipi di filtri" collegamento. http://www.php.net/manual/en/filter.filters.php
ho sempre e solo usato il filtro intero ...
$user_id = filter_input(INPUT_POST, 'user_id', FILTER_SANITIZE_NUMBER_INT);
$user = abs($user_id); // To get rid of any +/-
La questione ha più voti della risposta accettata. Interessante ... – sMaN