PHPでの$_REQUESTは色々危険
2014/07/02
extract($_REQUEST)はかなり怖いよ、という話が最近あった。
できれば使わない方がいいけれども、使うのであれば、
・extractで受け取った変数を用いる場合は値の正当性を確かめる
・先にDB接続してからextract使う
・extractと関係ない変数を使うときは必要に応じて初期化する
・エスケープの徹底
知らなかったけど$_REQUESTはPOSTとGETだけじゃなくて
cookieも使用できるので覚えておく。
あと、extractは関係ないけど下記が分かりやすかったのでメモっておく。
関連記事
-
-
PHPにてmicrotimeで秒数を測定した際「xxxxxE-5」のような値になる場合の対応方法
PHPで過去記事を参考の上、あるプログラムの処理にかかった時間を測定しようとした ...
-
-
PHPで「Call to undefined function mb_str_split()」エラーの対応方法
PHPにて「Fatal error: Uncaught Error: Call ...
-
-
PHP8系で「Uncaught TypeError: Unsupported operand types」エラー対応方法
PHP8系で「Fatal error: Uncaught TypeError: ...
-
-
PHPでdo-while(0)構文を利用する際のメリット
あるソースコード上にdo-whileという構文が使われていた。見たことのない構文 ...
-
-
他所のサーバからWordPressの記事情報をpostIDを指定して取得する方法
他所のサーバからWPの記事IDを指定した上で、当該IDのタイトル・アイキャッチ画 ...