Обработка $_POST

[Dareean]

Как можно обезапасить примерно следующий алгоритм.

У меня идея только сделать дополнительно поле проверки с хеш-ключом, но хочется более простой путь.

 

form.php

 

echo "<form action=\"file.php\" method=post>";

for($i=0;$i<=10;$i++)
{
echo "
<input type=text name=\"name[$i]\">
<input type=text name=\"surname[$i]\">\n";
<inpu type-hidden name=\"id[$i]\" value=\"$i\">
}

echo "<input type=submit>
</form>";

 

 

file.php

 

$c = count($name) - 1;
for($i=0;$i<=$c;$i++)
{
$name[$i] = mysql_escape_string($name[$i]);
$surname[$i] = mysql_escape_string($surname[$i]);

mysql_query("INSERT INTO table (name,surname) VALUES ('$name[$i]','$surname[$i]') WHERE ID='$id[$i]'");
}

 

 

Обнулить массив в начале файла file.php нельзя, но тогда злоумышленник может через строку подменить данные из формы. Каким образом можно в данном случае избежать подстановки данных?

[Song]

Дык стоп, а чего бояться подмены через строку, если это можно сделать валидно в том же самом input type ?

[GiV]

а чего бояться подмены через строку

да правда что, когда можно и код формы отредактировать...

 

Код file.php при отключеном register_globals работать не будет! Да кстати по той же причине у вас там что-то через строчку поменять можно.

 

Так что либо extract($_POST) в самом начале скрипта, либо $_POST['Имя_массива']

[Dareean]

Про register_globals я знаю

Я просто пример пример скрипта...

Так вот мне что интересно, как ещё можно организовать цикловую обработку форму? ТО есть грубо говоря згнать её в массив и оттуда перегонять в базу!?

 

Код конечно не идален, и допустим даже слишком. Я им показал только сам принцип, конечно проверка данных на целостность в обработке скрипта присутствует. Интерес в том, что бы сделать сам процесс обработки как можно менее емким.