Esatto, la validazione e' un altro discorso, e comunque un dato non validato deve generare una exception, non deve essere "ripulito".Originariamente inviata da Santino83_02
Esatto, la validazione e' un altro discorso, e comunque un dato non validato deve generare una exception, non deve essere "ripulito".
Intervengo su questo aspetto: secondo le "best practices" non è il modo giusto di operare.
O meglio non il migliore.
Perchè basta che dimentichi UNA volta di "sanificare" l'input che la frittata è fatta (viene ripetuto come concetto più volte).
Qualsiasi approccio che sia insicuro per default porta a rischi.
Un po' come mettersi in casa del materiale esplosivo: certo se non gli dai fuoco non esplode.
Però basta una distrazione e booooom.
E' un'obiezione che non ha senso. "Basta dimenticarsi una volta" si applica a qualunque ambito e qualunque approccio, basta che ti dimentichi una volta uno dei tuoi purgavalore() e sei nella stessa identica situazione.
Non esiste nessun paradigma che ti metta al sicuro dagli errori del programmatore.
Invece sì.
Nel senso che la procedura che salva nel db (ad esempio) purga sempre i dati.
E chiami quella (prima o poi imparerò a fare un metodo della classe).
Quindi non puoi evitare di usarla.
Analogamente facendo un grep degli "echo" e sostituendo con "write" o "echopurgata", print_r e così via usi sempre funzioni "sicure per default"
Esattamente la stessa cosa la puoi fare mandando i dati in output al browser quando li prendi "sporchi" dal database (cioe' usando un templating engine o equivalente fatto da te).
Tu fai (ovviamente schematizzo al minimo per rendere l'idea):
prendi dato -> purga() -> salva -> echo dato
io faccio:
prendi dato -> salva -> echo pulisci(dato)
richiede lo stesso livello di attenzione (cioe' usare una funzione): usi sempre quella e "non ti puoi dimenticare di usarla".
Permessi di invio
Rispondi quotando