0

人々がphpレベルでテキストフィールドにphpコードを入力するのを防ぐためのすべての方法を探しています。私はSQLインジェクションを防止していますが、人々が私のifステートメントをいじるのを防ぐ方法は必要ありませんか?

$email=$_POST["email"];
if(filter_var($email, FILTER_VALIDATE_EMAIL))
{
    //do suff
}

ユーザーが電子メールとして「not@a@valid@email.com = valid@email.com」のようなものを入力できない場合、有効と見なされます。この例がサーバーにとって悪くないことはわかっていますが、他の例はもっと致命的だと確信しています。

それとも、決して問題にならない何かを心配していますか?

4

1 に答える 1

1

ユーザー データはstring の値であるため、これは問題ではありません。次のように言うのと変わりません。

filter_var("die()", FILTER_VALIDATE_EMAIL)

それはまたあなたのプログラムを殺しません。それはただのテキストです。

使用しないでくださいeval。これまでにありませんが、具体的にはユーザー入力ではありません。

于 2013-10-25T23:53:19.820 に答える