HTTP://WWW.R-T-F-M.INFO/

   

   Каждый web-мастер должен уметь не только писать скрипты, но и грамотно организовывать защиту своих творений. Одним из важнейших навыков является умение правильно фильтровать всю информацию, поступающую от пользователя. Об этом и пойдет речь в моей статье.

   

   Прежде всего, следует фильтровать данные, которые передает пользователь осознанно - в основном, это данные различных форм. Это может быть пара логин-пароль для входа, пункт голосования и т.п. Например, форма после нажатия кнопки \"OK\" передаст скрипту index.php два значения - $login и $pass. Как их можно отфильтровать? Пример для переменной $login:

   

   

   if($login)

   {

   $login = htmlspecialchars((stripslashes($login)), ENT_QUOTES);

   $login = str_replace(\"/\",\"\",$login);

   $login = str_replace(\".\",\"\",$login);

   $login = str_replace(\"`\",\"\",$login);

   }

   else

   {

   echo \"Логин не введен!\";

   }

   

   В первой строке мы проверяем существование переменной $login, если она существует - идем дальше, если нет - выводим сообщение об ошибке. Затем с помощью функции htmlspecialchars заменяем в этой переменной спецсимволы на их HTML мнемоники. То есть знак `.