consiglio su strip_tags

[stiffa]

ciao a tutti....
Vorrei chiedere un cosiglio di buona programmazione e sicurezza.
Volevo sapere se strip_tags lo devo mettere solo quando inserisco il valore di una REQUEST a una variabile
$pippo = strip_tags($_REQUEST['pippo']);

o sarebbe meglio anche quando ho il seguente codice
if(isset(strip_tags($_REQUEST['pippo'])))


???grazie

[stiffa]

up

sono nel vuoto piu assoluto....Il fatto e' che sto cercando di dedicarmi alla sicurezza ma non so operare scelte...
ad esempio....e' meglio strip_tags o htmlentities ????
quale dei due mi da piu sicurezza?

devo effettuare ulteriori controlli?
aiuto pls

[Andrea1979]

Dipende da quel che vuoi fare. Se vuoi eliminare i tag userai strip_tags, se vuoi invece che i caratteri potenzialmente dannosi siano convertiti in entità html (e quindi sarà possibile vederli in una pagina html dove compariranno come testo) userai htmlentities. La differenza è sostanziale... con strip_tags uan cosa del genere

codice:

Ciao stiffa</p>

mandata in output al browser verrà visualizzata come semplice testo "Ciao stiffa". In pasto ad html entities verrà invece visualizzata come la vedi qui. In entrambi i casi chiaramente perderai la formattazione.

Abbandona $_REQUEST ed usa gli array specifici ($_POST e $_GET).

[stiffa]

mamma mia come sono arretrato....se non ci foste voi....

ascolta...quando $_POST e quando $_GET ???
io ero convinto di questo (spero di non confonderli) ....
$_POST si usa con method post del form e visualizza nell'url i parametri inviati mentre $_GET il contrario..

quindi e' piu sicuro $_GET....per curiosita...quand'e' che useresti $_POST?

[stiffa]

Originariamente inviato da stiffa
Volevo sapere se strip_tags lo devo mettere solo quando inserisco il valore di una REQUEST a una variabile
$pippo = strip_tags($_REQUEST['pippo']);

o sarebbe meglio anche quando ho il seguente codice
if(isset(strip_tags($_REQUEST['pippo'])))

mi interesa sapere anche quanto citato qui sopra

[Andrea1979]

Hai un po' le idee confuse.

codice:

<form name="tuoform" method="post" action="tuaction.php">
  <input type="text" name="testo" />
  <input type="submit" value="Submit" />
</form>

manderà i dati in $_POST. Se fosse stato method="get" manderà i dati in $_GET. In particolare il get è proprio come dici tu, la query string attaccata all'url della pagina

http://www.tuosito.com/tuaction.php?testo=ciao

per recuperare "ciao" farai $_GET['testo']

Come potrai immaginare non serve un form per generare query string da recuperare con $_GET.

Sull'altra questione... dipende. E' un dato vitale? E' un dato che dovrebbe assumere solo valori particolari (numerico)? Sicuramente vorra controllare che la variabile che ti aspetti sia settata

codice:

if (isset($_POST['testo'])) {
  ...
}

Se poi lo script deve continuare comunque, potresti volere qualcosa del genere

codice:

$_POST['testo'] = (isset($_POST['testo']) ? strip_tags($_POST['testo']) : "testo di default");

Altra cosa, chi dice che get è più sicuro di post o altre cose del genere? Sono metodi d invio diversi e tra l'altro, una query string non può essere lunga a piacere anche se molti browsers gestiscono tranquillamente query string di qualche KB. Certe cose in get non le puoi però proprio fare (ad esempio l'upload di file)