ли это хорошо, чтобы избежать инъекции просит

Question

я должен получить IP и URL в параметре запроса, и мне нужно, чтобы избежать инъекции специально из URL-адреса строки, вот мой код:

if(filterValidIp($ip) && filterValidUrl($url)) { 
    //it's ok 
    //code.... 
} 

функция URL:

function filterValidUrl($s) { 
    $s = trim($s); 
    $valid = filter_var($s, FILTER_VALIDATE_URL); 
    if(!$valid === false) { 
     return true; 
    } 
    return false; 
} 

URL:

?url=http://google.com?id=ss'+&ip=127.0.0.1 

проходят как действительный

Answer 1

Код, который вы указали , проверяет URL.

Если вы планируете хранить его в СУБД вы должны также избежать его использования mysqli::real_escape_string или PDO::quote

Вы также можете дезинфицировать его, особенно если вы представить его ничего не подозревающих посетителей вашего веб-сайта , Вы можете сделать это, используя filter_var($s, FILTER_SANITIZE_URL).

Помните, что ненадежные люди могут вводить вредоносные текстовые строки в веб-сайты.