クリーニング$ _POST変数

Question

私は、効果的にすべてのPOSTとGET変数を単一の関数で簡単に消去する方法を考案しようとしています。ここでは関数自体だ：

//clean the user's input 
function cleanInput($value, $link = '') 
{ 
    //if the variable is an array, recurse into it 
    if(is_array($value)) 
    { 
     //for each element in the array... 
     foreach($value as $key => $val) 
     { 
      //...clean the content of each variable in the array 
      $value[$key] = cleanInput($val); 
     } 

     //return clean array 
     return $value; 
    } 
    else 
    { 
     return mysql_real_escape_string(strip_tags(trim($value)), $link); 
    } 
} 

そして、ここではそれを呼ぶだろうコードです：それは動作するはずのよう

//This stops SQL Injection in POST vars 
foreach ($_POST as $key => $value) 
{ 
    $_POST[$key] = cleanInput($value, $link); 
} 

//This stops SQL Injection in GET vars 
foreach ($_GET as $key => $value) 
{ 
    $_GET[$key] = cleanInput($value, $link); 
} 

私にはこれがそうです。しかし、何らかの理由で、フォームにあるチェックボックスから配列を返さないでしょう。彼らは空白を続けています。

私は上記の機能を使わずにコードをテストしたところ、うまくいきました。そこにセキュリティを追加したいだけです。

ありがとうございます！

Answer 1

が十分ではありませんやりたいarray_walk_recursiveを使用することができます。 hereを参照してください。あなたが例えばarray_mapのようなものを使用することができます再帰は、よりエレガントにする

Answer 2

可能であればfilter_inputを使用してください（php5 +）それは多くのクリーナーを保持し、あなたがそれを使用する必要がある可能性があるすべてを浄化し、検証することができます。

あなたは、全体のpost配列をフィルタリングするfilter var array例えばFILTER_SANITIZE_STRINGフラグを使用することができます

filter_var_array($_POST, FILTER_SANITIZE_STRING) //just an example filter 

filter reference

Answer 3

未チェックのチェックボックスがサーバーに送信されないW3Schoolsの上で利用できるさまざまなフィルタオプションの負荷があります。 。

あなたは何をやっている

Answer 4

：

$_POST = array_map('mysql_real_escape_string',$_POST); 

用フィルターVARをあなたががアプローチのこれらの種類としてしかし、あくまで一例一般的に悪いことができるかどうか;）

Answer 5

これは、入力の消去について間違った方法です。

あなたはまだあなたがデータベースクエリを作った後にデータを使用したい場合は、戻って来て、あなたを噛まないように起こっている $_POSTと $_GETで絶対にすべてのものに逃げるブランケットMySQLを適用

いますが、中にエスケープ文字を望んでいませんそこ。

mysqliまたはPDOでパラメータ化されたクエリを使用すると、mysql_real_escape_string()を使用する必要はありません。