[ Variabile e $_POST ] Dubbio sulla sicurezza sui controlli.

**wartpro** · 11-08-2011, 12:06

Buongiorno a tutti,

mi è sorto un dubbio.

Avendo uno script di questo tipo:

Codice PHP:


<?php



if (isset($_POST['invia'])) {



  $nome = $_POST['nome'];



}

?>

In quale dei due modi è più sicuro effettuare il controllo dell'input?

Controllo su $_POST in variabile

Codice PHP:


<?php



if (isset($_POST['invia'])) {



  $nome = $_POST['nome'];



  if (!preg_match('/ --istruzioni--/', $nome)) {



     echo "Altolà!";



  }

}

?>

Controllo su $_POST in variabile messo dopo controllo su $_POST stesso

Codice PHP:


<?php



if (isset($_POST['invia'])) {



  if (!preg_match('/ --istruzioni--/', $_POST['nome'])) {



   echo "Altolà!";



  } else {



        $nome = $_POST['nome'];

 

 }

}

?>

Grazie.

**oronze** · 11-08-2011, 12:13

qualcosa tipo

Codice PHP:


$nome = (condizione1 && condizione2 && ... && condizioneN)? $_POST['var'] : null;

credo sia più leggibile e veloce da elaborare... poi dipende dal tipo di controlli che devi fare. In linea di massima è cmq sconsigliabile usare gli if annidati

**wartpro** · 11-08-2011, 12:16

Grazie mille oronze, ne terrò conto.

Ma riguardo alla mia impostazione, quale delle due è preferibile...la seconda vero?

**las** · 11-08-2011, 12:42

a livello di sicurezza sono identiche, verificare il $_POST o metterlo dentro una variabile per poi verificarlo è la stessa identica cosa ... ovviamnete se stiamo parlando di controlli tramite script PHP, se la variabile la devi passare a una query allora è un altro discorso, ma per come hai scritto tu che devi solo passarla alla funzione preg_match, io direi che passargli il $_POST o una variabile tua è la stessa identica cosa.

P.S. se nella soluzione 1 non metti un die ovviamente vai avanti comunque dopo che stampi l'altolà

**wartpro** · 11-08-2011, 12:50

Grazie las!

Si nel mio caso non c'è database quindi allora potrebbe andare.

E grazie per l'accorgimento del die O_O ..mi era sfuggito!

Ma..riflettendo..perchè a questo punto non fare così...

Codice PHP:


<?php



if(isset($_POST['invia'])) {



  if ($_POST['nome'] == "sbagliato") {



  die("Altolà!");



  } else {



     $nome = $_POST['nome'];



  }



}

?>

Fatto 30..faccio 31. ( detto locale

)

No?

**wartpro** · 11-08-2011, 13:16

..confusione..dimenticavo che dopo l'echo ho exit.

Grazie per le dritte!

Discussione: [ Variabile e $_POST ] Dubbio sulla sicurezza sui controlli.

Strumenti discussione

Ricerca discussione

Visualizza

[ Variabile e $_POST ] Dubbio sulla sicurezza sui controlli.

Permessi di invio