据我所知,检查先决条件是一种很好的做法.如果一个方法需要一个int值,那么使用这样的东西是一个很好的解决方案:
public function sum($input1, $input2) {
if (!is_int($input1)) throw new Exception('Input must be a integer');
但是在查看Zend / Codeigniter的源代码后,我不经常看到这样的检查.是否有一个原因 ?
解决方法:
因为在使用它之前测试每个变量是困难/低效的.相反,他们只检查输入变量 – 检查门口的访客,而不是一次在屋内.
在使用它们之前测试至少更重要的变量当然是一种很好的防御性编程技术,特别是如果输入来自很多地方.
这有点偏离主题,但我建议的解决方案是测试输入变量,如下所示:
$username=get('username', 'string');
$a=get('a', 'int');
...
永远不应该使用$_REQUEST和类似的东西(甚至可以直接访问).
此外,在进行HTML输出时,您应该始终使用:
echo html($username); // replaces '<' with '<' - uses htmlentities
为了避免sql注入攻击,可以使用MeekroDB,但遗憾的是它非常有限(仅限MysqL,仅限单个数据库,……).它有一个很好的API,虽然促进安全,所以我建议检查出来.
对于我自己,我已经构建了一个基于PDO的小型DB库,并使用预处理语句.因人而异.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
