Kira Schwarz (12 мая 2024, в 21:37)
_(Ulty)_ , а, ну да, в казне если только пригодится абс

_(Ulty)_ (12 мая 2024, в 20:44)
Kira Schwarz , mysql_real_escape_string перед работой с базой (лучше использовать mysqli или PDO, в которых есть предподготовленные запросы MySqli | PDO)
Дабы избежать XSS пишут свои функции фильтрации, что бы убирать вредные символы, но многие используют при выводе htmlspecialchars или strip_tags

Фильтрацию чисел так же выполняют по разному:
Регулярными выражениями
https://regex101.com/r/7B3nvn/1

filter_var FILTER_SANITIZE_NUMBER_INT
Кто-то использует abs(intval($number))

А ещё есть смысл почитать статью касаемо CSRF атаки и о способах защиты

d1nka (12 мая 2024, в 19:37)

function jopa2($str) {

      $str = intval($str);

      return $str;

  }

это реально жопа2.)

Kira Schwarz (12 мая 2024, в 18:59)

function jopa($str) {

     $str = filter_var(trim($str), FILTER_SANITIZE_STRING);

     return $str;

 }

норм защита строк от скл иньекций mysql на php 5.6 или неочень, не сильно шарю в безопасности...

еще такйо вариант есть, но хз в чем разница:

function jopa($str) {

     $str = mysql_real_escape_string($str);

     return $str;

 }

//////////////////
для чисел тоже не могу выбрать фичу из двух какая круче:
1)

function jopa2($str) {

     $str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT);

     return $str;

 }

или
2)

function jopa2($str) {

     $str = intval($str);

     return $str;

 }

Вилы Выкидные (22 июня 2024, в 9:03)
неправильное применение фильтров, ты не проверяешь данные, ты из очищаешь и зачем-то приводишь к другому типу

базе данных похер такие очистки в БД всё залетает в виде СТРОК

очищать нужно при выводе в браузер и то на любителя, если не хочешь XSS чтобы балдели на страницах, XSS не выполняется в БД, строка хранится в том же виде