Фильтрация свичей

20. БелладонН eGo, да знаю я =) Просто у меня часто в процессе коддинга возникали случаи, что предназначенную для одного дела переменную приходилось использовать ещё много где =) После этого появилась привычка всё подряд фильтровать =)

ну в общем итог такой, если это переключатель для страниц ни чего фильтровать ненадо, кроме как установлена переменая или нет, что б пробел не сработал за запрос, а вот если там какие данные передаются то фильтруем в зависимости от того какого они типа, цифры, буквы..

темка кстати актуальная, я сам свича боялся всегда, и хотя б htmlspecialchars юзал, теперь почищу код)

Даешь вот такие конструкции для свич и иф/эльз (взято из какого то мега скрипта от какого то шахтера) :

<?
if (empty($_GET['fid']))
{
echo "Ошибка!!!"; 
;}
if (eregi("[^0-9]", $_GET['fid']))
{
echo"Попытка взлома!!!";
echo'<a href="../index.php?'.$ses.'">Главная</a><br/>';
;}
$fid = $_GET['fid'];
$fid = check($fid);
$fid = htmlspecialchars(mysql_escape_string($fid));
$fid = intval($fid); // p.s. контрольный в голову (мое примечание)
?>

Или вот еще не менее актуальный пример паранойи:

<?
$time = intval(time());
?>

Фильтровать нужно все вводимые пользователем данные, если эти данные в дальнейшем будут выводится или взаимодействовать с бд или файлами.

24, блин. Плюс уже ставил

24. Neformat, тогда уж $time = abs(intval(floatval(".time().")));
*ROFL*
А вдруг разработчики пхп каку подсунут?

27, ну и тру цикл для надёжности while(1) $time = abs(intval(floatval(".time().")));

27. Не разработчики,а сервер))

29. Wapruks, и те и те могут ;)