Warum ist es besser zu verwenden filter_input()?

Sollte dies eine Elementare Frage, aber warum ist es besser, etwas zu verwenden, wie diese:

$pwd = filter_input(INPUT_POST, 'pwd');

Statt nur:

$pwd = $_POST['pwd'];

PS: ich verstehe, dass die filter-Erweiterung kann verwendet werden, mit mehr Argumente, um eine zusätzliche Ebene der Bereinigung.

Die Frage hat mehr Stimmen, als für die akzeptierte Antwort. Interessant ...

InformationsquelleAutor Alix Axel | 2009-04-20

14

Ist es nicht. $_GET, $_POST, $_COOKIE und $_REQUEST sind gefiltert mit Standard filter. filter_input(INPUT_POST, 'pwd') ohne zusätzliche Parameter verwendet auch die Standard-filter. Es gibt also überhaupt keinen Unterschied.
- War auf der Suche rund um für filter_input vs. htmlspecialchars und bemerkt, dass dieses veraltet ist. Die meisten PHP-Konfigurationen nicht filtern diese Daten nicht mehr, der link, den Sie veröffentlichen hat sogar die Standard-Konfiguration eingestellte Wert als "unsafe_raw"
- in beiden Fällen Daten geht durch den Standard-filter. Standard-nun passiert "unsafe_raw", aber das ändert nichts an der Tatsache, dass die Verwendung filter_input ohne filter parameter nicht geben Ihnen keine zusätzliche Ebene der Sicherheit.
- Fair genug. Danke für die info.
- Auf meinem Server gibt es einen Unterschied, wenn magic_quotes_gpc aktiviert ist. Die gefilterten man nicht includeslashe, während die verweisenden mit $_POST hat. So weit ich copuldn nicht herausfinden, warum,... stackoverflow.com/questions/9533122/...
InformationsquelleAutor vartec
2

Alle Daten, die vom client gesendet (wie POST-Daten) sollte saniert und zu entkommen (und noch besser, der Vernunft-geprüft), um sicherzustellen, dass es nicht geht, zu töten, Ihre website.

SQL-Injection und Cross-site-scripting sind die beiden größten Bedrohungen für dieses Versäumnis zu bereinigen Sie Ihren Benutzer-Daten gesendet.
- Ist filter_input() noch notwendig, wenn Sie mit parametrisierten Abfragen und htmlspecialchars() auf, bevor Sie drucken Sie alle Benutzer-Daten?
- filter_input(INPUT_POST, 'pwd'); (ohne andere argument noch bereinigt Wert?
- in der Regel hast du Recht, aber das ist nicht eine Antwort auf diese Frage.
InformationsquelleAutor Ben S
2

Ist es auch nicht besser.

Bitte docs auf filter_input
http://www.php.net//manual/en/function.filter-input.php

und klicken Sie auf die "Filtertypen" - link.
http://www.php.net/manual/en/filter.filters.php

Habe ich immer nur benutzt die integer-filter ...
```
$user_id = filter_input(INPUT_POST, 'user_id', FILTER_SANITIZE_NUMBER_INT);
$user = abs($user_id); //To get rid of any +/-
```
InformationsquelleAutor Anthony Scaife

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.