Здравствуйте!
Работаю с битриксом месяц, до этого разрабатывал проекты на yii
Вопросов в основном нет, но есть вопросы по безопасности.
Создал инфоблок - заказ звонка.
Создал страницу call_a_order.php с правами только для администратора.
на странице код:
Данные отправляются через Ajax
Стоит полученные данные обрабатывать htmlspecialchars?
и вообще получать лучше через POST или REQUEST?
Спасибо!
P.S создал страницу для того чтоб сделать вывод данных из инфоблока в виде таблицы
# | Дата | ФИО | Номер | Тема | Вопрос
Работаю с битриксом месяц, до этого разрабатывал проекты на yii
Вопросов в основном нет, но есть вопросы по безопасности.
Создал инфоблок - заказ звонка.
Создал страницу call_a_order.php с правами только для администратора.
на странице код:
Код |
---|
<? require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php"); $APPLICATION->SetTitle("Заказ звонка"); ?><? if(isset($_POST['NAME']) && isset($_POST['PHONE']) && isset($_POST['SUBJECT']) && isset($_POST['QUESTION'])): CModule::IncludeModule("iblock"); $el = new CIBlockElement; $PROP = array(); $PROP['NAME'] = $_POST['NAME']; $PROP['PHONE'] = $_POST['PHONE']; $PROP['SUBJECT'] = $_POST['SUBJECT']; $PROP['QUESTION'] = $_POST['QUESTION']; $arLoadProductArray = Array( "MODIFIED_BY" => $USER->GetID(), "IBLOCK_SECTION_ID" => false, "IBLOCK_ID" => 5, "PROPERTY_VALUES"=> $PROP, "NAME" => "Заказ звонка", "ACTIVE" => "Y", "PREVIEW_TEXT" => "", "DETAIL_TEXT" => "" ); if($PRODUCT_ID = $el->Add($arLoadProductArray)) echo "<div id='call_answer'>Спасибо! Ваше сообщение отправлено, и мы его уже получили. Наши менеджеры свяжутся с Вами в ближайшее время.</div>"; else echo "<div id='call_answer'>Ошибка при отправке.</div>"; endif; ?> <?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");?> |
Стоит полученные данные обрабатывать htmlspecialchars?
и вообще получать лучше через POST или REQUEST?
Спасибо!
P.S создал страницу для того чтоб сделать вывод данных из инфоблока в виде таблицы
# | Дата | ФИО | Номер | Тема | Вопрос