使用Symfony清除POST和GET变量

时间:2015-02-16 17:30:26

标签: php security symfony input request

我正在使用Silex,它正在使用来自Symfony的组件Request。 当我从表单中获取数据时,例如这样:

$params = $request->request->all();

没有东西被清理干净。与Laravel不同,用户输入数据会自动清理。我应该手动完成,使用像strip_tag这样的内置PHP函数,或者有一种symfony方法来实现它。

1 个答案:

答案 0 :(得分:6)

所以基本上在清理输入时,它不应该是请求的一部分。这是因为,已清理的输入实际上只是数据库安全性的一部分。

因此,当Doctrine传递给Doctrine时,会对输入进行清理。基本上,Doctrine会自动确保所有输入都已清理。从广义上讲,数据库抽象层负责确保传递给它的数据有效。

Propel也是如此。

所以我所说的是输入清理不是Request对象的责任,所以它没有提供这样做的功能。这符合单一责任原则,您可以在此处详细了解:http://en.wikipedia.org/wiki/Single_responsibility_principle

如果要验证通过请求接收的数据,可以使用Validator Component执行此操作,还有一个Silex ServiceProvider: https://github.com/symfony/Validator

TLDR; 清理输入不是请求的响应性,它是您的DBAL(数据库滥用层)的责任。