PHP で「$_REQUEST」を使用するのはなぜ危険ですか?

$_REQUEST を使用する危険性: 誤った利便性

$_REQUEST 変数は一時的に楽になるかもしれませんが、根本的な問題が隠されています。潜在的なセキュリティ脆弱性や誤った処理につながる可能性があります。

余分な Cookie の組み込みの落とし穴

フォーム送信パラメータ ($_GET および $_POST) とは異なり、Cookie は別個のエンティティであり、同じものとして扱うべきではありません。やり方。デフォルトでは、$_REQUEST は、$_GET、$_POST、$_COOKIE の 3 つのソースをすべて組み合わせます。これにより、Cookie 名がフォーム パラメータと一致すると競合が発生し、そのパラメータが Cookie の値によって上書きされる可能性があります。

これは、同じ Web サイト内に複数のアプリケーションが存在する場合に特に問題となる可能性があります。意図しないフォームの誤動作の原因となります。古い Cookie を少数のユーザーが維持しているだけでも、その結果は予測不可能で診断が困難になる可能性があります。

リスクの軽減

これらの落とし穴を回避するには、次のことをお勧めします。 $_REQUEST は避けてください。 GET 配列と POST 配列の組み合わせが必要なシナリオでは、手動でアセンブルすることをお勧めします。

PHP 5.3 以降のバージョンでは、request_order 構成を設定することで、$_REQUEST のデフォルトの動作を変更して Cookie を除外できます。 「GPC」へ。ただし、これが不可能な場合は、結合された配列を手動で構築する方が安全な方法です。

以上がPHP で「$_REQUEST」を使用するのはなぜ危険ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。