PHPの基礎2:入力値は検証して使う

GETやPOSTで送られてきたデータなどは悪意が籠もったデータと考え、出来る限り検証して使う。

よくあるのは、入力値が数値の場合は、数値以外を受け付けないことだろう。


if (preg_match("/^[0-9]+$/", $_POST['id'])) {
$id = $_POST['id'];
}

フレームワークだと便利なvalidationが大体ついてますね。
ホワイトリストを通してデータを使うことを忘れずに!

タイトルとURLをコピーしました