函數或調用者是否應該負責輸入驗證？

Question

我正在做一個相當大的php應用程序的安全審計，並想知道我應該包括我的用戶輸入驗證。

我應該驗證數據，然後將乾淨的數據發送到後端函數，還是應該依靠每個函數來進行自己的驗證？甚至兩個？

這種事情有沒有什麼標準或最佳做法？

目前，該應用程序不但不一致，而且我希望使事情更加一致。

Answer 1

您應該儘快驗證外部數據。根據體系結構，負責函數中的後端驗證可以是第二步，但不要依賴於後端驗證，而是在數據進入應用程序時驗證數據。

裏面的功能驗證，以補充先前驗證的優點是，它更容易（更安全），以維持系統，因爲當你（更模糊）的開發人員不能破壞應用程序。如果您的應用程序支持插件，例如對於第三方插件，安全功能也是必須的。

Answer 2

我想如果你可以做到這一點，並且時間/資源不是問題，爲什麼不呢？

Answer 3

這取決於應用程序的範圍/定義。但傳統上，您的函數可能會在$ object-> doSomething（）中使用。通過依靠在那裏的驗證，你可以防止自己做的某件事（）的能力，你知道嗎？

太，如果你保持在你身邊驗證可以輕鬆地管理它。無需在特定的內部功能中追捕它。保持OOP，但更像

$ data = $ validator-> sanitizeSomething（$ data）; $ object-> doSomething（$ data）;

這可以讓您的驗證規則分開，並且易於管理以及您的內部功能。

爲了詳細說明，假設你有一個數據庫對象，增加了一個數組表：

class db { 
    function addRow($table, $associativeArray) { 
     // primitive i know, just an example 
    } 
} 

將要在那裏，你的驗證？

function addRow($table, $associativeArray) { 
    if(isset($assiciativeArray['description']) { 
     // validate 
    } 
} 

將是愚蠢的 - 你會想，在對象你

class product { 
    function update() { 
     if($this->validate()) { 
      $this->db->addRow($this->toArray()); // or something, you get the idea, ya? 
     } 
    } 
    function validate() { 
     if($this->description != "") { 
     return true; 
     } 
     return false; 
    } 
} 

Answer 4

無論是更好的答案正在努力。數據驗證應發生在每個將處理數據的函數中，以避免希望驅動開發（HDD）

Answer 5

驗證在後端就像在乘客登機後篩選乘客。驗證的重點是防止注入可能會窒息您的應用程序的元素。所以你必須在進入門之前驗證:)