모든 코드를 검토하는 중입니다. 사용자 입력을 검증하기 전에 사용자 입력의 유효성을 검사해야 할 필요성에 대한 두 번째 생각이 있습니다. 예를 들어, 신용 카드 확인 CVV :유효성 확인은 확인하기 전에 필수 단계입니까?
// validation required?
if(!preg_match('/^[\d]{3,4}$/', $_POST['card_CVV']))
{
unset($_POST['card_CVV']);
$error++;
// verification
}
elseif($card_CVV != $_POST['card_CVV'])
{
$error++;
}
// pass verification
else
{
// process transaction
}
검증없이 확인을 수행해야합니까?
그럼 여기에도 주사가 가능할 것 같습니다. 항상 그리고 항상 사용자 입력의 유효성을 검사하고 필터링합니다 - 어쨌든 elseif에서 필터링되지 않은'$ _POST' 변수를 사용하지 말아야한다는 것을 의미합니다. – Anonymous
확인과 유효성 검사의 차이점을 완전히 이해하고 있는지 잘 모르겠습니다. 그것들은 사실상 똑같은 것처럼 보입니다. 입력이 예상되는 형식인지, 보통 매우 단순한 방식으로, 일반적으로 오류 메시지를 다시 사용자에게 알려주는지 확인하고 있습니다. – cdeszaq
@ Dan Surfrider, 사용자 데이터를 저장하지 않고 있습니다. 위험을 여전히 게시합니까? –