Variabile Superglobale $_REQUEST e Validazione Input Forum Utente

[Wilfred87]

Buongiorno a tutti, avrei bisogno di chiarimenti sulla super globale $_REQUEST e sul validare un input di un utente derivante dal FORM…

Dunque, la variabile Superglobale $_REQUEST quand’è che si utilizza ma soprattutto che pro/contro ha? A che serve?

Mentre per la validazione degli input io utilizzo un sistema del genere:

if(!isset($_POST['Avanti'])){

“parte php dell’input che inserisce i dati nel DB”
}

In pratica io faccio che se l’input non viene da POST e NAME ‘Avanti’ non me lo fa passare però, se io volessi che la validazione fosse SOLO dal Form del mio sito è solo dall’utente con una sessione attiva sul mio SITO questo sistema va bene oppure devo aggiungere altro?

[codencode]

$_REQUEST contiene le variabili di $_GET, $_POST e $_COOKIE ed è utile quando non si sa l'input da cosa va preso. Se devi prendere i dati di un form lo sai se utilizzi il get o il post, quindi è bene utilizzare uno dei due.

Per quanto riguarda la questione dell'utente con sessione attiva, dovresti utilizzare o le sessioni oppure un sistema di passaggio di token.

[Wilfred87]

Uhm, vediamo se ho capito per entambi. Mettiamo il caso io abbia un dato che mi si carichi nel DBtramite passaggio in POST

Codice PHP:

$uppa= mysql_query("UPDATE datox  SET mex='".$_POST[‘mex’]."' WHERE id='".$id."'") or die (mysql_error()); 


I questo caso dovrei fare così?

Codice PHP:

$uppa= mysql_query("UPDATE datox  SET mex='".$_request[‘mex’]."' WHERE id='".$id."'") or die (mysql_error()); 


Poi per la questione Token, uhm cos’è? Per utilizzare la Sessione intendi al posto del $_POST inserire $_SESSION nel controllo

Codice PHP:

if(!isset($_SESSION['Avanti'])){ 


[codencode]

Se passi i dati in POST è bene utilizare $_POST e non $_REQUEST.
Forse è il caso di leggere qualche guida sulla sicurezza di PHP, anche perchè prima di utilizzare un dato preso dal post o get è bene eseguire l'escape.

Stessa cosa vale per le sessioni, leggi qualche guida e tutto ti sarà più chiaro.

[Wilfred87]

Si la guida l’ho letta, il mio dubbio era proprio capire in se l’utilità di Request, ovviamente faccio l’escape per ogni dato prima che si inserisca direttamente nel DB con gli appositi sistemi mysql_real_escape_sstring o htmlenties però il mio problema era capire le due funzionalità magari spiegate meglio da Voi utenti^_^

[codencode]

Meglio mysql_real_escape_string, htmlenties serve per convertire i caratteri accentati, gli apostrofi, ecc. in entità html.

Per quanto riguarda invece $_REQUEST, $_POST e $_GET,
$_REQUEST contiene anche i valori di $_POST e $_GET, ed è utile quando non si da dove arriverà l'input. Quando invece si sa da dove arriva l'input conviene utilizzare $_GET o $_POST a seconda che il dato arrivi dal get o post.

[Wilfred87]

Quindi $_REQUEST và utilizzato solo quando non specifico se viene da POST o GET il dato, buono a sapersi.

Chiaro, mentre le il controllo dell'input andava bene quello che ho fatto?

[codencode]

Si può andar bene, dipende dal grado di sicurezza che vuoi avere. Se si tratta di un semplice form ok, se si tratta di un'area riservata, conviene ricorrere almeno alle sessioni con qualche accortezza.

[Wilfred87]

Per Sessioni intendi che faccio il controllo sull'input così:

Codice PHP:


if(!isset($_POST['Avanti'])&&($_SESSION['nome'])){ 


[codencode]

Le sessioni servono per mantenere memorizzati dei valori tra una pagina e l'altra senza doverli passare mediante il post o get, quindi, ad esempio, potrebbero essere utili per la gestione di un'area riservata in modo da sapere se un utente ha effettuato il login o meno, con le dovute precauzioni.