Forum PHP.pl > [php] $_REQUEST a bezpieczeństwo

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [php] $_REQUEST a bezpieczeństwo

Jarod

28.07.2006, 08:21:11

W jednym z artykułów http://www.webinside.pl/php/artykuly/197 przeczytać można, że nie zaleca się stosowania tej tablicy. Co o tym myślicie?

Przecież zamiast

[PHP] pobierz, plaintext 
<?php
if ( !empty($_POST['dzien']) )   $dzien   = $_POST['dzien'];   else $dzien   = $_GET['dzien'];
		if ( !empty($_POST['miesiac']) ) $miesiac = $_POST['miesiac']; else $miesiac = $_GET['miesiac'];
		if ( !empty($_POST['rok']) )	 $rok	 = $_POST['rok'];	 else $rok	 = $_GET['rok'];
 
		if ( !empty($dzien) )   $data['mday'] = intval($dzien);
		if ( !empty($miesiac) ) $data['mon']  = intval($miesiac);
		if ( !empty($rok) )	 $data['year'] = intval($rok);
?>
[PHP] pobierz, plaintext

można użyć:

[PHP] pobierz, plaintext 
<?php
if ( !empty($_REQUEST['dzien']) )   $dzien   = $_REQUEST['dzien'];
		if ( !empty($_REQUEST['miesiac']) ) $miesiac = $_REQUEST['miesiac'];
		if ( !empty($_REQUEST['rok']) )	 $rok	 = $_REQUEST['rok'];
 
		if ( !empty($dzien) )   $data['mday'] = intval($dzien);
		if ( !empty($miesiac) ) $data['mon']  = intval($miesiac);
		if ( !empty($rok) )	 $data['year'] = intval($rok);
?>
[PHP] pobierz, plaintext

nospor

28.07.2006, 08:26:44

Prawda jest taka ze sie nie zaleca jej używania i mają rację. Chyba ze programista robi to zupełnie świadomie i ma w tym swój cel (a zdarzają sie takie sytuacje).
Jednak gdy wiesz, ze pewne dane mają iść postem, to uzywasz $_POST. Gdy inne maja isc w url, to uzywasz $_GET.

cadavre

28.07.2006, 11:06:02

Nie winno stosować się REQUESTa gdyż ten przechwytuje wszystkie dane o określonej nazwie - tak więc gdy wysłane zostaną równocześnie np. $_FILES i $_POST o takich samych nazwach powstanie konflikt.

Jarod

28.07.2006, 11:50:16

Rozumiem, ale ja zmieniam nazwy zmiennych dla różnych skryptów, konflikt nie powstanie. A takie rozwi±zanie zaoszczędza czas i skraca kod, bo w skrypcie muszę sprawdzać czy dane zostały przesłane $_POST czy $_get. Zwi±zane jest to z tym, że z formularza (np. szukaj w bazie czegoś) dane przesyłane są POSTem ale użytkownik wracając z wyników przesyła GET. Czy oprócz konfliktu zmiennych są jakieś inne niebezpieczeństwa?

Cysiaczek

28.07.2006, 13:30:56

Gdzie widzisz problem? W tym, że masz ścisły podział na GET i POST? To jest złe? Niewygodne? Oj. Jest dokładnie odwrotnie. Jeśli używasz GET i POST, to zawsze wiesz, gdzie ewentualnie szukać problemów. REQUEST już tego nie gwarantuje. Uzywanie go raczej zaciemnia kod i kiedyś może sie nieprzyjemnie odbić.
REQUEST jest tak somo bezpieczne jak POST i GET.

Pozdrawiam.

Jarod

28.07.2006, 14:48:37

Cytat(Cysiaczek @ 28.07.2006, 12:30 )

Gdzie widzisz problem? W tym, że masz ścisły podział na GET i POST? To jest złe? Niewygodne?

Ja tego nie powiedziałem. Tylko w moim przypadku użycie REQUEST skraca kod i jednocześnie czas wykonywania. Tu ułamek, tak ułamek sekundy i się zbiera. Poprostu tak jak podałem w kodzie (dotychczasowy kod) muszę sprawdzać GET i POST a tak mam po kłpocie.

Cytat(Cysiaczek @ 28.07.2006, 12:30 )

REQUEST jest tak somo bezpieczne jak POST i GET.

dziękuje.

Pozdrawiam

Kicok

28.07.2006, 16:04:02

Jeśli ten rok, miesiąc i dzień przesyłasz do skryptu przez pasek adresu, to nie musisz sprawdzać $_POST.
Jeśli ten rok, miesiąc i dzień przesyłasz do skryptu za pomocą jakiegoś formularza, to nie musisz sprawdzać $_GET
Jeśli chcesz, żeby dało się ten rok, miesiąc i dzień wysłać zarówno przy pomocy formularza jak i przy pomocy paska adresu, to możesz używać $_REQUEST, albo zainteresować się takimi konstrukcjami:

[PHP] pobierz, plaintext 
<?php
$rok = (isset($_POST['rok']) ? $_POST['rok'] : $_GET['rok']);
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
$rok = $_POST['rok'] or $rok = $_GET['rok'];
?>
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.