前端之家收集整理的这篇文章主要介绍了
php – 函数或调用者是否应负责输入验证?,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在对一个相当大的
PHP应用程序进行安全审计,并想知道我应该在哪里包含我的
用户输入验证.
我应该验证数据,然后将干净的数据发送到后端函数,还是应该依靠每个函数来进行自己的验证?甚至两个?
这种事情有没有标准或最佳实践?
目前,该应用程序不一致,我想让事情更加一致.
您应该尽快从外部验证数据.根据体系结构,负责
函数内的后端验证可以是第二步,但不依赖于后端验证,而是在数据进入应用程序时验证数据.
在内部功能验证的专业人员作为对先前验证的补充,因为维护系统更容易(和更安全),因为(无比的)开发人员在您无法破坏应用程序之后.如果您有一个支持插件的应用程序,例如对于第三方插件,安全功能也是必须的.