automatisch trim()

bluefanu · 14.10.2007, 11:43

Hi

PHP-Code:

  <?php

 
error_reporting(E_ALL);

 
if ($_POST){

$_POST = array_map('trim', $_POST);

}

 
// CODE

 
?>

Das funktioniert wunderbar, nur spricht irgendwas dagegen, das so anzuwenden ? Und wenn Ja, warum ?

dr.e. · 14.10.2007, 11:49

Hallo bluefanu,

zunächst ein Herzliches Willkommen und viel Spass im PHPFriende.de-Forum!

Zitat:

Das funktioniert wunderbar, nur spricht irgendwas dagegen, das so anzuwenden ? Und wenn Ja, warum ?

Funktionieren tut das sicher, denn es ist ja syntaktisch und logisch richtig. Einschränkung ist, dass es eben nur funktioniert, wenn etwas gepostet wurde, wie du auch schon bemerkt hast.
Ob es sinnvoll ist, kommt immer auf den Anwendungsfall an. In der Regel benötigt man diese Art von Bereinigung nur bei Formular-Eingaben. Der Rest sollte so implementiert sein, dass Parameter keine Leer- und Sonder-Zeichen enthalten. Wichtiger an dieser Stelle ist IMHO auf die vom User übergebenen Daten ein strip_tags() oder einen beliebigen anderen Filter anzuwenden, um XSS-Lücken zu vermeiden.
Solltest du diese Art der Anwendung aber für deinen speziellen Fall benötigen ist das schon richtig und sinnvoll so.

Slava · 14.10.2007, 11:50

wenn du wirklich alle Werte von $_POST getrimmt haben möchtest, was soll denn dagegen sprechen?

Zergling-new · 14.10.2007, 12:09

.. wenn nun aber ein Array ankommt ist der weg, siehe http://www.phpfriend.de/forum/ftopic62940.html

PS: Auch von mir ein herzlich willkommen!

bluefanu · 14.10.2007, 13:49

Hi

Erstmal vielen danke für die Antworten und die nette Begrüßung

Grundsätzlich schicke ich jede einzelne Benutzereingabe vor dem Eintrag in die Datenbank erst durch trim() und dann durch mysql_real_escape_string() und auch, aber selten durch strip_tags()

Wenn ich jedoch ein Formular habe in dem z.b. 10 Felder ausgefüllt werden müssen, muss ich 10x trim() und mysql_real_escape_string schreiben.

Diese Schreibarbeit wollte ich mir aber gerne sparen und daher dachte ich an so was wie:

PHP-Code:

  <?php

 
if ($_REQUEST){

$_REQUEST = array_map('trim', $_REQUEST);

$_REQUEST = array_map('mysql_real_escape_string', $_REQUEST);

}

 
// geht dass evtl. optimaler/kürzer ? und was ist mit is_numeric() und intval()

 
?>

Diese Methode habe ich jedoch noch nie in einem Script gesehen.

Was haltet Ihr davon ?

brian johnson · 14.10.2007, 16:02

Zitat:

Zitat von bluefanu

Hi

Erstmal vielen danke für die Antworten und die nette Begrüßung

Grundsätzlich schicke ich jede einzelne Benutzereingabe vor dem Eintrag in die Datenbank erst durch trim() und dann durch mysql_real_escape_string() und auch, aber selten durch strip_tags()

Wenn ich jedoch ein Formular habe in dem z.b. 10 Felder ausgefüllt werden müssen, muss ich 10x trim() und mysql_real_escape_string schreiben.

Diese Schreibarbeit wollte ich mir aber gerne sparen und daher dachte ich an so was wie:

PHP-Code:

  <?php

 
if ($_REQUEST){

$_REQUEST = array_map('trim', $_REQUEST);

$_REQUEST = array_map('mysql_real_escape_string', $_REQUEST);

}

 
// geht dass evtl. optimaler/kürzer ? und was ist mit is_numeric() und intval()

 
?>

Diese Methode habe ich jedoch noch nie in einem Script gesehen.

Was haltet Ihr davon ?

isset() fehlt

anderfalls, ich benutz immer was in der art (mit den filter konstanten):

PHP-Code:

  function exists_not_empty($key,$submitted_through)

{

    switch($submitted_through)

    {

        case INPUT_GET: $check_in=$_GET;

         break;

 
        case INPUT_COOKIE: $check_in=$_COOKIE;

         break;

 
        case INPUT_REQUEST: $check_in=$_REQUEST;

         break;

 
        default:

        case INPUT_POST: $check_in=$_POST;

         break;

    }

 
    if(isset($check_in[$key]))

    {

        $trimed=trim($check_in[$key]);

        if($trimed!=='') return $trimed;

            else return FALSE;

    }

    else return FALSE;

}

benutzen tust du das so:

PHP-Code:

  $input_name=exists_not_empty('name'); #prueft in $_POST

if($input_name===FALSE) $error.='Bitten nen namen angeben.';

das ist nämlich auch das was mich an den filter* nervt. kein trim....

Zergling-new · 14.10.2007, 18:19

Wenn du das auf alle $_REQUEST anwendest, gehst du implizit davon aus, dass alle ankommenden Daten für die MySQL-Datenbank bestimmt sind. Das erschwert die Übergabe von Parametern, die nicht für die MySQL-Datenbank bestimmt sind, beispielsweise Navigations-Parameter etc.
Das aber nur als Hinweis, grundsätzlich kannst du array_map mit den beiden genannten Funktionen so natürlich aufrufen.

brian's Variante ist natürlich auch elegant, wobei ich statt $submitted_through wohl eher direkt den Array übergeben würde.

bluefanu · 14.10.2007, 19:11

PHP-Code:

  <?php

 
if (isset($_REQUEST)){

$_REQUEST = array_map('trim', $_REQUEST);

$_REQUEST = array_map('mysql_real_escape_string', $_REQUEST);

}

 
?>

Besser so ?

Also wenn ich das so direkt vor einem INSERT oder UPDATE verwende spricht nicht dagegen oder ?

Mit $_GET und mysql_real_escape_string() hab ich schon Probleme bekommen

Zergling-new · 14.10.2007, 20:18

Ja, irgendwann musst du selbst für MySQL die Eingaben testen, kurz davor kann ein guter Zeitpunkt sein

Was für Probleme?

brian johnson · 14.10.2007, 21:48

Zitat:

Zitat von bluefanu

PHP-Code:

  <?php

 
if (isset($_REQUEST)){

$_REQUEST = array_map('trim', $_REQUEST);

$_REQUEST = array_map('mysql_real_escape_string', $_REQUEST);

}

 
?>

Besser so ?

das kommt darauf an, wieviele daten denn verarbeitet werden sollen. du musst daran denken, dass das array bei 2 aufrufen von array_map auch 2 mal durchgegangen wird. besser wärs dann wohl, wenn dus selbst mit foreach durchgehst. außerdem könntest du dann sofort alle inhalte die nach trim() einen string mit der länge 0 ergeben, löschen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Termine nach Ablauf automatisch aus der DB löschen oder ausblenden	Teela	PHP Tipps 2008	4	24.03.2008 12:29
Formulare automatisch ausfüllen lassen?	Marlboro	PHP Tipps 2008	4	23.08.2007 20:30
"[code]" automatisch ins textfeld einfuegen	Dilandau	HTML, Usability und Barrierefreiheit	14	23.01.2007 20:10
Post Formular automatisch weiterleiten	mansaylon	PHP Tipps 2006	7	31.03.2006 10:46
deckkraft mit php automatisch ändern	TaStEn	PHP Tipps 2006	3	25.03.2006 20:46
radio button automatisch setzen		HTML, Usability und Barrierefreiheit	2	11.10.2005 07:12
XML Tags automatisch schließen?	tekknotrip	PHP Tipps 2005-2	4	14.09.2005 11:51
Automatisch E-Mail Adressen erstellen lassen?		Beitragsarchiv	5	24.08.2005 15:36
Parse error bei trim()		PHP Tipps 2005-2	8	09.07.2005 13:37
Datum automatisch erhöht eingeben?!?		Datenbanken	3	02.06.2005 12:49
logo automatisch anpassen		HTML, Usability und Barrierefreiheit	15	14.03.2005 10:59
[Erledigt] Text automatisch einfügen lassen?		PHP Tipps 2005	9	12.02.2005 20:22
bildgröße automatisch anpassen		PHP Tipps 2004-2	9	10.12.2004 13:39
array auch automatisch erzeugt wenn..		PHP Tipps 2004-2	4	04.12.2004 12:33
[Erledigt] Zeilenumbrüche aus textarea automatisch ausgeben		PHP Tipps 2004	7	22.08.2004 12:39

14.10.2007, 11:43
bluefanu Neuer Benutzer Registriert seit: 19.04.2008 Beiträge: 6	automatisch trim() Hi PHP-Code: `<?php error_reporting(E_ALL); if ($_POST){ $_POST = array_map('trim', $_POST); } // CODE ?>` Das funktioniert wunderbar, nur spricht irgendwas dagegen, das so anzuwenden ? Und wenn Ja, warum ?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.10.2007, 11:50
Slava Erfahrener Benutzer Registriert seit: 17.01.2006 Beiträge: 468	wenn du wirklich alle Werte von $_POST getrimmt haben möchtest, was soll denn dagegen sprechen? __________________ Slava http://bituniverse.com

14.10.2007, 12:09
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	.. wenn nun aber ein Array ankommt ist der weg, siehe http://www.phpfriend.de/forum/ftopic62940.html PS: Auch von mir ein herzlich willkommen!

14.10.2007, 13:49
bluefanu Neuer Benutzer Registriert seit: 19.04.2008 Beiträge: 6	Hi Erstmal vielen danke für die Antworten und die nette Begrüßung Grundsätzlich schicke ich jede einzelne Benutzereingabe vor dem Eintrag in die Datenbank erst durch trim() und dann durch mysql_real_escape_string() und auch, aber selten durch strip_tags() Wenn ich jedoch ein Formular habe in dem z.b. 10 Felder ausgefüllt werden müssen, muss ich 10x trim() und mysql_real_escape_string schreiben. Diese Schreibarbeit wollte ich mir aber gerne sparen und daher dachte ich an so was wie: PHP-Code: `<?php if ($_REQUEST){ $_REQUEST = array_map('trim', $_REQUEST); $_REQUEST = array_map('mysql_real_escape_string', $_REQUEST); } // geht dass evtl. optimaler/kürzer ? und was ist mit is_numeric() und intval() ?>` Diese Methode habe ich jedoch noch nie in einem Script gesehen. Was haltet Ihr davon ?

14.10.2007, 18:19
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Wenn du das auf alle $_REQUEST anwendest, gehst du implizit davon aus, dass alle ankommenden Daten für die MySQL-Datenbank bestimmt sind. Das erschwert die Übergabe von Parametern, die nicht für die MySQL-Datenbank bestimmt sind, beispielsweise Navigations-Parameter etc. Das aber nur als Hinweis, grundsätzlich kannst du array_map mit den beiden genannten Funktionen so natürlich aufrufen. brian's Variante ist natürlich auch elegant, wobei ich statt $submitted_through wohl eher direkt den Array übergeben würde.

14.10.2007, 19:11
bluefanu Neuer Benutzer Registriert seit: 19.04.2008 Beiträge: 6	PHP-Code: `<?php if (isset($_REQUEST)){ $_REQUEST = array_map('trim', $_REQUEST); $_REQUEST = array_map('mysql_real_escape_string', $_REQUEST); } ?>` Besser so ? Also wenn ich das so direkt vor einem INSERT oder UPDATE verwende spricht nicht dagegen oder ? Mit $_GET und mysql_real_escape_string() hab ich schon Probleme bekommen

14.10.2007, 20:18
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Ja, irgendwann musst du selbst für MySQL die Eingaben testen, kurz davor kann ein guter Zeitpunkt sein Was für Probleme?