我正在建立一种形式的目录,其形式为"过滤"页面上显示的实体,与常规网上商店通常如何过滤实体所拥有的类别,价格或任何其他属性的距离不远。
考虑到这一点......我或者应该关心过滤/消毒/验证传入的GET变量吗?我正在使用一个处理(或至少应该)的CMS,并确保没有任何讨厌的内容进入数据库。
例如,我是否应该关心用户可能会更改"?fromPrice = 1000& toPrice = 2000"变成无效的东西,比如?fromPrice = xyz& toPrice = 2000"。
我最初的任务是为此创建一种系统形式,它会验证值并回退到默认值,但我很难看到这样做的重点。< / p>
是否有任何安全点,例外预防或其他任何事情,这可能会带来,或者这只是浪费时间?
答案 0 :(得分:0)
官方解决方案是使用php的清理: http://php.net/manual/ro/filter.filters.sanitize.php
然而,如果只是来自/到价格,你应该检查它们是否是大于零的数字。这应该为您的示例执行,并在验证失败时加载默认值。