filter_var - filtros php
¿Por qué es mejor usar filter_input()? (3)
Esta debería ser una pregunta elemental, pero por qué es mejor usar algo como esto:
$pwd = filter_input(INPUT_POST, ''pwd'');
En lugar de sólo
$pwd = $_POST[''pwd''];
PD: Entiendo que la extensión del filtro se puede usar con más argumentos para proporcionar un nivel adicional de desinfección.
No es mejor
Consulte los documentos en filter_input http://www.php.net//manual/en/function.filter-input.php
y haga clic en el enlace "Tipos de filtros". http://www.php.net/manual/en/filter.filters.php
Solo he usado el filtro entero ...
$user_id = filter_input(INPUT_POST, ''user_id'', FILTER_SANITIZE_NUMBER_INT);
$user = abs($user_id); // To get rid of any +/-
No es. $_GET
, $_POST
, $_COOKIE
y $_REQUEST
se filtran con el filtro predeterminado . filter_input(INPUT_POST, ''pwd'')
sin parámetros adicionales también usa el filtro predeterminado. Así que no hay diferencia en absoluto.
Todos los datos que se envían desde el cliente (como los datos de POST) deben ser limpiados y eliminados (y, lo que es mejor, deben revisarse para asegurarse de que no matarán su sitio web).
La inyección de SQL y las secuencias de comandos entre sitios son las dos amenazas más grandes por no sanear los datos enviados por el usuario.