Вопрос по метод_post

[asics]

Вопрос по метод_post

Отправляю данные от одной страницы другой с помощью форм(выпадающие списки) методом post, запрос выглядит так: http://site.ru/a-search/?a=search&s=&p=0&d=1&pol=1&spol=2&bage=18&tage=23&foto=1&online=1&country=3159&region=4773&city=moskow

Стоит ли на конечной странице проверять переменные, чтобы они не содержали теги и символы, а только латинские буквы и цифры?

Теоретически возможно вписать какой-то вредоносный код в переменную отправляемую методом post?

 

[Mr_Max]

Данным из формы не стоит доверять НИКОГДА.
Если у вас числовые значения приводите к числовому типу

http://phpclub.ru/talk/showthread.php?s=&threadid=54325&rand=45

Для общего развития.
http://phpclub.ru/detail/article/php_security1
http://phpclub.ru/detail/article/php_security2
http://phpclub.ru/detail/article/php_security3

 

[asics]

Ага, прочел, спасибо.

Вообщем, авторизации на сайте нет, значения числовые и латинские буквы, защищаю от лишних символов так:

<?php 
$url= "http://сайт.com/";
if(!preg_match("/^[a-zA-Z0-9]+$/", $calc)) {Header("location: ".$url);}else {выполняем скрипт;}
mysql_close(); 
?>

Этого достаточно?

 

[Андрейка]

asics
достаточно для чего?

 

[neko]

> Теоретически возможно вписать какой-то вредоносный код в переменную
> отправляемую методом post?

следует помнить, что даже если вписать код в переменную, сам по себе он не запуститься
если в переменную писать теги, сами по себе они никуда не выведутся

какие-то символы в переменной никакой опасности не представляют сами по себе.

 

[asics]

Где ещё можно про меры безопасности почитать?

 

[neko]

в интернете.
ну и на этом конкретно форуме писали очень, очень много по данному вопросу.