borisbaer: getRequestBody-Methode gibt keine Formular-Werte aus

Beitrag lesen

Wäre es also sinnvoller z.B. so was hier zu machen:

function input_filter($data) {
	$data = trim( $data );
	$data = stripslashes( $data );
	$data = htmlspecialchars( $data );
	return $data;
}

Nein! Übernimm Eingangsdaten erstmal so, wie sie sind. Das passt schon. Erst beim Übertragen in andere Kontexte oder Formate (SQL, HTML, JSON, whatever) wird der Wert behandelt. Und zwar speziell auf den Zielkontext angepasst. Für SQL brauchst du eine andere Aufbereitung als für HTML, fürs Speichern in eine Textdatei vielleicht sogar überhaupt keine. Aber bitte keine Pauschalbehandlung unabhängig vom weiteren Verarbeitungsweg.

Okay, ich verstehe. Jeder Kontextwechsel braucht (oder eben auch nicht) ein bestimmte Aufbereitung der Daten. Aber POST-Werte, die man in eine Datenbank übertragen möchte, müssen doch stets irgendwie gefiltert werden, oder?