Для безопасности достаточно ли проверить, соответствует ли пользовательский ввод ожидаемому значению? Или мне все равно

Для безопасности достаточно ли проверить, соответствует ли пользовательский ввод ожидаемому значению? Или мне все равно ⇐ Php

1 сообщение • Страница 1 из 1

Anonymous

Для безопасности достаточно ли проверить, соответствует ли пользовательский ввод ожидаемому значению? Или мне все равно

Цитата

Сообщение Anonymous » 10 мар 2025, 13:06

Достаточно ли проверить, соответствует ли пользовательский ввод ожидаемому значению, прежде чем я включил его в выполненный код? Например ,:

Код: Выделить всё

$fruits = array(
"Orange",
"Banana"
);

if(isset($_GET['fruit']) && in_array($_GET['fruit'], $fruits)) {
// embed user input in HTML page:
echo $_GET['fruit'];
// embed user input in shell command:
shell_exec("script.sh $_GET['fruit']");
// query database with user input:
mysqli_stmt_bind_param($stmt, 's', $_GET['fruit']);
}

или мне нужно избежать его с помощью htmlspecialchars , Essapeshellcmd и т. Д. Перед выводом?

Подробнее здесь: https://stackoverflow.com/questions/794 ... pected-val

1741601166

Anonymous

 Достаточно ли проверить, соответствует ли пользовательский ввод ожидаемому значению, прежде чем я включил его в выполненный код? Например ,:
[code]$fruits = array(
"Orange",
"Banana"
);

if(isset($_GET['fruit']) && in_array($_GET['fruit'], $fruits)) {
// embed user input in HTML page:
echo $_GET['fruit'];
// embed user input in shell command:
shell_exec("script.sh $_GET['fruit']");
// query database with user input:
mysqli_stmt_bind_param($stmt, 's', $_GET['fruit']);
}
[/code]
или мне нужно избежать его с помощью htmlspecialchars , Essapeshellcmd  и т. Д. Перед выводом?  

Подробнее здесь: [url]https://stackoverflow.com/questions/79497516/for-safety-is-it-enough-to-check-whether-user-input-conforms-to-an-expected-val[/url]