PHPでの$_REQUESTは色々危険
2014/07/02
extract($_REQUEST)はかなり怖いよ、という話が最近あった。
できれば使わない方がいいけれども、使うのであれば、
・extractで受け取った変数を用いる場合は値の正当性を確かめる
・先にDB接続してからextract使う
・extractと関係ない変数を使うときは必要に応じて初期化する
・エスケープの徹底
知らなかったけど$_REQUESTはPOSTとGETだけじゃなくて
cookieも使用できるので覚えておく。
あと、extractは関係ないけど下記が分かりやすかったのでメモっておく。
関連記事
-
-
PHPで配列を確認する際にvar_dumpよりも見やすくなるdBug.phpの利用方法
PHPで配列を確認する際、大抵var_dumpで出力させているがこれが見づらい。 ...
-
-
PHPでHTMLメールを送信する方法(PHPMailerあり無しの2パターン)
PHPでHTMLメールを送信したい。また、メール関連の機能を実装する際は環境によ ...
-
-
ディレクトリに設置してあるフォルダをPHPで調べて表示
やりたい事はsampleというディレクトリがあったとして、その直下にあるフォルダ ...
-
-
複数(PHP / metaタグ / htaccess)の方法で301リダイレクト
サイトのディレクトリやファイル名を大幅に変えるという案件があった。それ自体は問題 ...
-
-
PHPとGoogle Authenticatorの組み合わせで2段階認証を実装する方法
2段階認証と言えばSMS送信のケースが多く、その次に通常のメール送信というケース ...