Validação de dados em PHP5 – Parte 1

Olá a todos, nesta série de artigos ( espero eu ) estarei dando algumas dicas de como tratar valores com o PHP.

Uma preocupação cada vez maior ao se criar sistemas é a segurança, e um das áreas em que devemos ter maior preocupação é na hora de usar informações provenientes de agentes externos ( pessoas ou outros sistemas ).

Temos de levar sempre em consideração que nunca poderemos prever todas as maneiras que um usuário ( ou mesmo outro sistema ) utiliza nosso código. Os usuários sempre arrumam uma forma “inovadora” de usar nossos sistemas, podendo causar falhas críticas no mesmo. Então, sempre que for criar um sistema que interaja com alguém, proteja-se de todas as maneiras possíveis, e dependa o mínimo possível de fatores externos ( como boa vontade e conhecimento do usuário, ou que o sistema alheio não falhe ).

A palavra de ordem é: “Valide TUDO”. Sim, qualquer coisa que venha de fora de seu sistema tem de passar por validação. Seja um valor utilizado para atribuição à variável, seja para uma consulta à um banco de dados, tudo deve ser validado.

Nesta primeira parte, falarei sobre o tratamento de variáveis vindas do cliente ( usuário ou sistema ) pelos arrays superglobais $_POST e $_GET, e que não sabemos ao certo o que esperar ( ou seja, podemos utilizar este método para receber um nome, telefone, email, data ou qualquer outro dado suportado pelo PHP ).

Abaixo segue um método que utilizo para tratar estes valores:

public function __set( &$atributo, $valor )
{
//Testa se existe algum valor a ser utilizado na atribuição
if( !empty($valor) )
{
//Faz a conversão de tipo, como o PHP tem uma tipação fraca ( ou seja, deixa você atribuir uma String em um váriavel que tinha um Número ), isto pode ajudar.
settype( $valor, gettype($atributo) );

//Verifico se magic_quotes_gpc está ativo na configuração do PHP, isto será removido no PHP 6( veja sobre isto )
if (!get_magic_quotes_gpc())
//Adiciono caracter de scape em tudo o que possa ser perigoso ( veja mais sobre isso )
$valor = addslashes($valor);
//Faço a atribuição normalmente.
$atributo = $valor;
}
}

Este é um método que pode ser incluído em qualquer classe. Ele possui um nome especial “__set”, que para o PHP, indica que ele será usado toda vez que for feita uma atribuição de valor para um atributo da classe ( posso falar mais sobre os métodos especiais do PHP5 em um próximo post ).

Por exemplo, quando utilizarmos o comando abaixo, atribuindo o valor nome do array $_GET ao atributo nome de nossa classe:

$classe->nome = $_GET[‘nome’];

O PHP interpretará como:

$classe->__set( nome, $_GET[‘nome’] );

 

e fará todas as verificações que contém no método.

Podemos utilizar outras funções de validação em nosso método, mas temos de tomar cuidado para não restringir demais os dados, lembrando sempre que esta validação será usada TODA vez que fizermos uma atribuição.

Poderíamos por exemplo refinar nossa validação utilizando expressões regulares, mas isso provavelmente não lhe traria bons resultados, pois uma expressão regular define uma regra que deve ser seguida, e no nosso caso, nós não sabemos o que esperar, então como poderia impor uma regra? Perderíamos muitos dados corretos utilizando uma expressão regular ( a menos que ela fosse pouco restritiva, o que faria perder sua função ).

 

Por enquanto é isto.

Espero ter ajudado, e até a próxima.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *