我设置了一个 PayPal IPN PHP 文件,它将所有 IPN 发布内容变量分配给变量。该文件仅来自 paypal.com(即没有人应该知道它的 url)。
我的问题是我是否应该采取必要的步骤来过滤和清理来自 PayPal 的 POST 数据,或者是否足够掩盖我的 IPN 文件名 (IPN_082j3f08jasdf.php)?
另外,有人可以确认我的清理代码吗?这是非常基本的。我在通过 POST 或 GET 发送的所有内容上运行它,我的目标是防止任何类型的 MySQL 注入或任何黑客所做的事情。
function filter($data){
// changes & to &
// changes " to "
// removes \ < >
$data = trim(htmlentities(strip_tags($data)));
if(get_magic_quotes_gpc()){
$data = stripslashes($data);
}
$data = mysql_real_escape_string($data);
return $data;
}