Как обрабатывать данные перед добавлением в базу данных и при выводе из нее в HTML?



@Ameon

Как вы обрабатываете данные перед добавлением в базу данных и при выводе из нее?

Опишу как это делаю обычно я на примере чисел и текста.
Я обычно использую следующие проверки:

  1. Убираю пробелы по бокам

    $name = trim(POST['name']);

  2. Если получаемая переменная должна быть числом, тогда привожу к числовому
    типу

    $num = (int)$_POST['num'];

  3. Использую подготовленные запросы PDO
    $stmt = $pdo->prepare($sql);
    $stmt->execute($params);

  4. При выводе из БД в HTML текстовые данные обрабатываю функцией htmlspecialchars

    $name = htmlspecialchars($_POST['name']);


Решения вопроса 0


Ответы на вопрос 1



@eandr_67

Всё выглядит достаточно разумным.
Если параметризированные запросы, то преобразовывать в число не обязательно. Собственно, само использование параметризованных запросов — главная защита от SQL-инъекций.
Советую дополнительно посмотреть на https://www.php.net/manual/ru/ref.filter.php — там много интересных возможностей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *