PHPでの$_REQUESTは色々危険
2014/07/02
extract($_REQUEST)はかなり怖いよ、という話が最近あった。
できれば使わない方がいいけれども、使うのであれば、
・extractで受け取った変数を用いる場合は値の正当性を確かめる
・先にDB接続してからextract使う
・extractと関係ない変数を使うときは必要に応じて初期化する
・エスケープの徹底
知らなかったけど$_REQUESTはPOSTとGETだけじゃなくて
cookieも使用できるので覚えておく。
あと、extractは関係ないけど下記が分かりやすかったのでメモっておく。
関連記事
-
-
PHPから他サーバのAPIに対してPOST送信する方法
PHPから他サーバのAPIに対してPOSTでリクエストしたかった。GETだったら ...
-
-
他所のサーバからWordPressの記事情報をpostIDを指定して取得する方法
他所のサーバからWPの記事IDを指定した上で、当該IDのタイトル・アイキャッチ画 ...
-
-
MySQLで直近に挿入したオートインクリメントの値と次回挿入する値を取得する方法
phpとmysqliを使っている中で次回挿入するオートインクリメントの値と、前回 ...
-
-
PHPでPOST送信する際に多次元配列も送る方法
PHPでPOST送信する際に多次元配列も送りたかった。ただ普通に送ろうとするとO ...
-
-
PHPでランダムな値を取得したいケース諸々の対応方法
テストデータを作成する際にランダムな値を入れたかったけど、色々ケースがあったので ...