Фильтрация запросов

Думаю не стоит упоминать о том, что любые значения $_SERVER, имена которых начинаются с HTTP_ в том числе и HTTP_X_FORWARDED_FOR и HTTP_HOST, могут содержать вовсе не те данные, которые ожидаются )))
Также, уверен, что все прекрасно понимают, запросы могут быть не только в явном виде, но и в base64-, hex-представлении... и не только )))
А о таких мелочах, как чтение и запись файлов средствами SQL вообще не стоит упоминать, верно? ;)
 
mod_security по слухам сильно нагружает сервер. А фильтрация по типу - select, insert etc... - имхо не лучший вариант.
Как завещал батюшка Ленин - запрещай все, что не разрешено.
Поэтому preg_replace('/[^\w]+/iu', '', $str) будет намного добрее, чем вышеописанные варианты.
(Повторюсь, это только from my poin of view)
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху