PHPでの$_REQUESTは色々危険
2014/07/02
extract($_REQUEST)はかなり怖いよ、という話が最近あった。
できれば使わない方がいいけれども、使うのであれば、
・extractで受け取った変数を用いる場合は値の正当性を確かめる
・先にDB接続してからextract使う
・extractと関係ない変数を使うときは必要に応じて初期化する
・エスケープの徹底
知らなかったけど$_REQUESTはPOSTとGETだけじゃなくて
cookieも使用できるので覚えておく。
あと、extractは関係ないけど下記が分かりやすかったのでメモっておく。
関連記事
-
-
PHPでスマホ(iPhone / Android)に画像をダウンロードさせる方法とダウンロード後の保存場所について
PHPで作ったシステムにスマホ(iPhone / Android)でアクセスし何 ...
-
-
PHP8系で関数の引数が設定しやすくなる名前付き引数について
PHP8系で名前付き引数が導入されたということを最近知った。今までは「第〇引数」 ...
-
-
PHPにて指定した期間内のランダムな日付をn件生成し、日付順にソートした上で受け取る方法
PHPにて指定した期間内のランダムな日付を指定した数だけ生成し、さらに日付順にソ ...
-
-
PHPで画像にモザイクをかけて保存
やりたかった事はPHPで ・モザイク処理 ・元の画像とは別にファイル名をつけて保 ...
-
-
MySQLのREGEXPで半角記号を検索したい場合の対応方法
MySQLのREGEXPで半角記号を検索したい場合\\を付けてエスケープしないと ...