PHPでの$_REQUESTは色々危険
2014/07/02
extract($_REQUEST)はかなり怖いよ、という話が最近あった。
できれば使わない方がいいけれども、使うのであれば、
・extractで受け取った変数を用いる場合は値の正当性を確かめる
・先にDB接続してからextract使う
・extractと関係ない変数を使うときは必要に応じて初期化する
・エスケープの徹底
知らなかったけど$_REQUESTはPOSTとGETだけじゃなくて
cookieも使用できるので覚えておく。
あと、extractは関係ないけど下記が分かりやすかったのでメモっておく。
関連記事
-
-
時間と数字のフォーマット
教わったのでメモ。 ・時間の整形 strtotime() 例) $ymd = ' ...
-
-
MySQLのREGEXPで半角記号を検索したい場合の対応方法
MySQLのREGEXPで半角記号を検索したい場合\\を付けてエスケープしないと ...
-
-
Stripeでキャンセル処理を行う際に「$config must be a string ~」エラーが出る場合の対応方法
Stripeにて先日メモした内容でキャンセル(返金)処理をしようとしたところ1件 ...
-
-
PHPの構文チェック
JSONLINTみたいにオンラインで構文チェックを できるサイト様があったのでメ ...
-
-
PHPで配列を確認する際にvar_dumpよりも見やすくなるdBug.phpの利用方法
PHPで配列を確認する際、大抵var_dumpで出力させているがこれが見づらい。 ...