正确的方式来处理通过应用程序的数据流

Question

这可能会被标记为重复，但在我的辩护中，我一直在寻找一段时间，我发现的很多信息是关于mysql或mysqli充其量或不完整。我想要一个全面的，最新的答案，因为它使用了PDO和准备好的陈述。

什么是正确的方式来处理数据，因为它在应用程序中移动。

数据是否符合以下理论流程？如果不是，您会推荐哪些改进？

1. 正确的表单验证客户端。
2. 使用$_POST而非$_GET
3. 在PHP中，只是数据库插入之前使用$variable = htmlentities($_POST['variable']);。
4. 使用PDO并准备了如下语句：bindValue(':variable', $variable);
5. 输出时，使用echo htmlspecialchars($variable);来防止XSS攻击。

两个相关的问题：

• 比方说你在使用数据的数据库htmlentities()插入前。如果用户输入<p>my input value</p>，你怎样才能删除所有插入的垃圾。这写入：<tr><p>my input value</p>&l到数据库。
• 如果您的php正在返回一个由AJAX处理的JSON数组，您将如何处理该场景中的输出？这不适用于PHP：htmlspecialchars($JSON_Array)

在此先感谢您的帮助。

Answer 1

一般来说你的流程将类似于此：

1. “验证”数据客户端 - 你不想相信这验证，因为你永远不应该相信任何来自客户端，这是完成更好的用户体验。

2. 验证服务器 - 确保提供给您的数据有效。例子可能是：验证类型（int，string等），验证值（用户不能排序负数的项目）等。如果你使用某种MVC-ish框架，这是在模型图层。

3. 将数据存储在数据库中 - 您将使用预准备语句来保护自己免受SQL注入的影响，但不希望以任何方式操作数据（如htmlentities等）。

4. 每当你正在做数据出来的时候您决定是否需要转换成HTML实体还是基于不管你是输出HTML，JSON，XML一些其他的处理是这样的数据库，等等

如果您需要在JSON数组中使用htmlspecialchars或类似的数据，请在将数据放入JSON数组之前执行该操作。