[SOLUCIONADO] filter_input_array o filter_input y duda con FILTER_SANITIZE

guardarmicorreo · #1 (**permalink**) 06/06/2014, 04:27

Estoy creando un sistema de registro y a la hora de recibir los valores mediante POST he decidido servirme de los filtros de PHP para validar y sanear esos valores.

Con filter_input recojo un valor POST concreto, pero es muy aparatoso filtrar valor por valor, además de engordar el volumen del código considerablemente.

Entonces por otro lado está filter_input_array, que como bien indica filtra todo un array.

El problema está que a la hora de realizar esto

Código PHP:

Ver original\filter_input_array(INPUT_POST, $_POST);

El propio Netbeans me indica que no es recomendable acceder directamente sobre una supeglobal.

Bueno, si no es recomendable (supongo que por seguridad, aunque no sé exactamente qué seguridad) ¿cómo le indico a filter_input_array que me filtre todos los valores POST recibidos en la clase?

Por otro lado y totalmente relacionado, a la hora de validar un email con FILTER_VALIDATE_EMAIL ¿tiene sentido además utilizar el FILTER_SANITIZE_SPECIAL_CHARS?

Un saludo!

#2 (**permalink**) 06/06/2014, 07:14

No debes pasarle el array con los datos ($_POST), si no un array con la definición de los datos (la forma que deben tener):

Código PHP:

Ver original$post = filter_input_array(INPUT_POST, array(
    'email' => FILTER_VALIDATE_EMAIL,
    'password' => FILTER_DEFAULT,
    'otro_campo_de_tu_form' => FILTER_...
));

Lo mejor es que leas la documentación para saber cómo funciona concretamente, para que sepas cuando devuelve false o null (false cuando no ha pasado el filtro y null cuando una variable no ha sido definida).

Respecto al segundo punto, de cuando utilizar validate o sanitize, hay un mal concepto y muy generalizado, nunca deberías sanitizar la entrada, jamás!
Qué pasa si mi contraseña es "jdsakdl<sd>sds" (que desde luego, tengo derecho a elegir la contraseña que a mi me dé la gana) y tu antes de compararla con la que tienes en la base de datos me haces un strip_tags o FILTER_SANITIZE_SPECIAL_CHARS? pues que compararás esto: "jdsakdl<sd>sds" (lo que yo he introducido) con esto: "jdsakdlsds" (strip_tags) o esto: "jdsakdllt;sdgt;sds" (FILTER_SANITIZE_SPECIAL_CHARS).

Es decir, deberías sanitizar los datos, convertir las entidades html o eliminar tags sólo cuando vayas a mostrarlos en el navegador, de lo contrario no tiene sentido y estarías trabajando con datos truncados.

guardarmicorreo · #3 (**permalink**) 06/06/2014, 09:02

Una explicación magistral! :D gracias!