No tenía ni idea de que no eran compatibles O.o

Disculpa, no los vi, me cuesta leer códigos sin antes darles formato con alguna herramienta.

Yo menos, no se ni defenderme adecuadamente de ataques que sí se realizar... Por algo no publico mis servers y solo acceden usuarios registrados a través de proxies y tengo 50.000 copias de seguridad en todos sitios, le tengo pendrives puestos para archivos importantes y los voy alternando por si hasta me jodiesen el pendrive que está puesto.

Si es para un sitio serio tuyo o si tienes contrato con alguien ten cuidado que si algún usuario del sitio es estafado debido a que se filtran sus credenciales en tu sitio, si te denuncia lo vas a tener que pagar. 

Hola,

En general lo tienes bien aunque supongo que esos datos los estas guardando en una base de datos. En tal caso, te recomiendo usar sentencias preparadas si es que no las estas utilizando ya.
https://www.php.net/manual/es/mysqli.quickstart.prepared-statements.php - MySQLi
https://www.php.net/manual/es/pdo.prepared-statements.php - PDO

De todos modos, te dejo el como lo haría yo por si pillas alguna idea o algo.

<?php
 
function validate($input, $type, $required = false)
{
    if ($required && empty($input)) {
        throw new \Exception('No ha rellenado unos de los campos obligatorios');
    }
 
    // Nos aseguramos de que el input no va a ser mayor de 1024 caracteres.
    if (mb_strlen($input, 'utf-8') > 1024) {
        throw new \Exception('Uno de los campos contiene demasiados caracteres.');
    }
 
    switch ($type) {
        case 'user':
            $valid = preg_match('/^[[:alpha:]\s]{2,50}$/iu', $input);
            $error = 'El campo Nombre permite un máximo de 50 caracteres de solo letras mayusculas o minusculas';
            break;
 
        case 'email':
            $valid = filter_var($input, FILTER_VALIDATE_EMAIL);
            $error = 'El campo Correo no es válido.';
            break;
 
        case 'phone':
            $valid = preg_match('/^[0-9]{1,11}$/', $input);
            $error = 'El campo Teléfono permite un máximo de 11 caracteres numericos';
            break;
 
        case 'text':
            $valid = (mb_strlen($input) <= 900);
            $error = 'El campo Texto no puede contener más de 900 caracteres';
            break;
    }
 
    if (!$valid) {
        throw new \Exception($error);
    }
 
    return htmlspecialchars(trim($input), ENT_QUOTES);
}
 
if (isset($_POST['submit'])) {
    try {
        $user = validate($_POST['text'], 'user', true);
        $email = validate($_POST['mail'], 'email', true);
        $phone = validate($_POST['telf'], 'phone');
        $post = validate($_POST['post'], 'text');
 
        // Guardar datos en base de datos con sentencias preparadas
        echo 'Válido';
 
    } catch (\Exception $error) {
        echo $error->getMessage();
    }
}

Las principales diferencias son:

- Meto toda la validación en una función.

- Uso FILTER_VALIDATE_EMAIL para validar correo en vez de regex. En tu regex por ejemplo, el correo juan@undominiomuylargo.productions no validaria porque además de sobrepasar los 30 caracteres que le pones de límite en general, sobrepasa los 9 caracteres que le pones de limite al TLD (aquí tienes la lista de TLDS actuales), según estándar se permite hasta 63 caracteres de longitud para un TLD..

- Validó la longitud min/max de los campos en el propio regex ahorrando un IF.

- Garantizo que los caracteres son tratados como UTF-8 sobre todo en el campo de Nombre donde si te fijas usó un Character class de regex para decirle que coja todo carácter alpha (letras) y trato la expresión como unicode. Por defecto, si no tratas los strings como multibyte, los caracteres fuera del ASCII genérico son tratados como dos bytes. Por ejemplo strlen devuelve 2 para la letra Ñ (mb_strlen devuelve 1). Así permites que haya nombres como Iñaki o Jóse.


Si te soy sincero, yo no utilizariá htmlspecialchars para "sanitizar" el input. Dado que las sentencias preparadas ya se encargan de que no haya una inyección SQL por culpa de caracteres raros, guardariá los datos sin "sanitizar" (aparte de los requerimientos como por ejemplo solo números para el teléfono) y la hora de imprimir (mostrar) dicho campo, utilizariá htmlentities.




Lo peor que puedes hacer es una lista negra de caracteres. Es mejor hacer una lista blanca y permitir solo los caracteres que tu quieras a hacer una negra y que tengas que estar cada 2x3 metiendo caracteres nuevos porque resulta que ó no es lo mismo que ò pero el sistema los trata igual. Es un poco como el intento de censurar palabras malsonantes en este foro, la palabra ***** esta censurada (te pone las * cuando lo publicas) pero la palabra m.ierda o mierda o mierda no  



No se, ya nadie da soporte para IE9.. es un poco absurdo hoy en dia. Nosotros por ejemplo solo damos soporte para las 2 últimas versiones de cada navegador (IE10, IE11). Es una versión que tiene ya 8 años y no es tan vital como IE8. Es decir, si tienes IE 9, no hay ninguna razón para que no tengas IE 10 o IE 11. IE 8 en cambio es un poco más vital en ese sentido porque fue la última versión de IE con soporte para XP. Pero vamos, estamos hablando de navegadores que llevan AÑOS sin actualizarse y con estándares obsoletos cuanto menos.

Saludos