Entschlüsseln Sie das Geheimnis von $ _Request: Wenn Sie bekommen, Post und Cookie Collide

$ _Request Merges Get-, Post- und Cookie -Daten, aber es gibt Sicherheits- und Vorhersehbarkeitsrisiken. Wenn die Schlüsselkonflikte, wird seine Überschreibungsreihenfolge durch Variablen_order oder Request_order in php.ini bestimmt, ist der Standardwert EGPCs, dh post Override Get and Hole Override Cookie; Wenn beispielsweise "Benutzer" -Parameter in GET-, Post- und Cookie -Post -Wert gewinnt; Die Verwendung von $ _Request kann zu Sicherheitslücken, unvorhersehbarem Verhalten und Schwierigkeiten beim Testen führen. Die beste Praxis besteht darin, $ _Request zu vermeiden, sollte aber $ _get, $ _post oder $ _cookie ausdrücklich verwenden; Es wird nur in allgemeiner Filterung, Sicherheitsrahmen oder Prototypentwicklung verwendet, die unabhängig von der Eingabequelle sind. Kurz gesagt, da sein Verhalten von der Konfiguration abhängt und anfällig für Missbrauch ist, sollten bestimmte Hyperglobalvariablen bevorzugt werden, um einen klaren und sicheren Code sicherzustellen.

Bei der Arbeit mit PHP sind Sie wahrscheinlich auf $_GET , $_POST und $_COOKIE - superglobale gestoßen, die Daten aus verschiedenen Quellen speichern. Aber es gibt noch einen, der oft Augenbrauen erhöht: $_REQUEST . Es ist eine bequeme Abkürzung, kann aber auch subtile Fehler einführen, wenn Sie nicht verstehen, wie es funktioniert. Lassen Sie uns aufschlüsseln, was $_REQUEST wirklich ist, wie es sich verhält, wenn es sich um Kollegium handelt, Post- und Cookie -Datenkollegin und warum Sie zweimal überlegen sollten, bevor Sie es verwenden.

Was ist $_REQUEST ?

$_REQUEST ist ein PHP -Superglobal, der standardmäßig den Inhalt von $_GET , $_POST und $_COOKIE enthält. Es handelt sich um ein fusioniertes Array, mit dem Sie auf Anforderungsdaten zugreifen können, ohne die Methode oder die Quelle im Voraus zu kennen.

Zum Beispiel:

 // Wenn Sie eine Get -Anfrage senden:? Name = John
echo $ _Request ['Name']; // Ausgänge: John

// oder ein Formular per Post mit name = jane einreichen
echo $ _Request ['Name']; // Ausgänge: Jane

// oder wenn ein Cookie namens 'Name' existiert
echo $ _Request ['Name']; // gibt den Cookie -Wert aus

Dies scheint praktisch zu sein - nicht muss überprüfen, welche Methode verwendet wurde. Aber die Bequemlichkeit ist kostenlos.

Wie geht $_REQUEST mit Konflikten um?

Wenn der gleiche Schlüssel in mehr als einem von $_GET , $_POST oder $_COOKIE existiert, fusioniert PHP sie nicht - es überschreibt sie basierend auf einer vordefinierten Reihenfolge. Diese Reihenfolge wird von den Direktiven variables_order oder request_order in php.ini gesteuert.

Standardmäßig verwenden die meisten PHP -Installationen:

 variables_order = "EGPCS"

Was steht für:

• E → Umgebungsvariablen
• G → bekommen
• P → Post
• C → Kekse
• S → Servervariablen

Wenn $_REQUEST beliebt ist, werden die Werte in dieser Reihenfolge verschmolzen, wobei spätere Einträge frühere überschreiben.

Aber hier ist der Haken: $_REQUEST enthält standardmäßig nur G, P und C, und die Prioritätsreihenfolge wird tatsächlich durch die Sequenz in request_order bestimmt. Wenn nicht eingestellt, folgt es variables_order , und normalerweise hat Post Vorrang vor GET, was Vorrang vor dem Keks hat .

Zum Beispiel:

 // Anfrage:? User = admin
// Daten posten: user = hacker
// Cookie: User = Gast

echo $ _Request ['Benutzer']; // Ausgänge: Hacker (Post gewinnt)

Dies bedeutet, dass ein Angreifer möglicherweise URL -Parameter (GET) überschreiben könnte, indem derselbe Parameter in Post aufgenommen wird - selbst wenn Ihre Logik davon ausgeht, dass der Wert von der Abfragezeichenfolge stammt.

Sicherheits- und Vorhersehbarkeitsrisiken

$_REQUEST kann zu:

• Sicherheitslücken : Wenn Sie ein Token in GET überprüfen, aber zulassen, dass es per Post oder Cookies überschrieben wird, können Sie den CSRF -Schutz schwächen.
• Unvorhersehbares Verhalten : Das gleiche Skript kann sich auf der Grundlage der gesendeten Daten unterschiedlich verhalten, wodurch Fehler schwer zu verfolgen.
• Testen der Komplexität : Verspottungsanforderungen werden schwieriger, wenn mehrere Eingangsquellen dieselbe Variable beeinflussen.

Stellen Sie sich zum Beispiel diesen Code vor:

 if ($ _request ['action'] === 'delete') {
    deleteAccount ();
}

Ein Angreifer könnte:

• Senden Sie eine Postanforderung mit action=delete , auch wenn der Link nur geteilt werden sollte.
• Stellen Sie einen bösartigen Keks ein, der die Aktion unerwartet auslöst.

Best Practices: Wann (und wenn nicht) $_REQUEST verwendet

Vermeiden Sie in den meisten Fällen $_REQUEST . Stattdessen:

• Verwenden Sie $_GET , wenn Sie URL -Parameter erwarten.
• Verwenden Sie $_POST für Formulareinreichungen.
• Verwenden Sie $_COOKIE nur, wenn Sie explizit mit Cookies zu tun haben.

Dies macht Ihren Code sicherer und leichter zu prüfen.

In begrenzten Szenarien ist jedoch möglicherweise $_REQUEST akzeptabel:

• Generische Eingangsfilter, bei denen die Quelle keine Rolle spielt (z. B. protokollieren Sie alle Eingaben).
• Frameworks oder Router, die eine sichere Eingabeverarbeitung sicher machen.
• Schnelle Prototypen (aber vor der Produktion entfernen).

Selbst wenn die Überprüfung jeder Quelle explizit überprüft wird, erhalten Sie mehr Kontrolle.

Fazit

$_REQUEST ist wie eine magische Box, die Eingaben kombiniert - aber die Box enthält Regeln, die Sie nicht immer sehen können. Wenn der Gewinner von Get, Post und Cookie -Kollege von PHP abhängt, ist die interne Konfiguration von PHP und nicht von Ihrer Absicht. Diese Unvorhersehbarkeit ist gefährlich.

Halten Sie sich an die spezifischen Superglobale. Kennen Sie Ihre Datenquelle. Schreiben Sie klarer, sicherer Code.

Grundsätzlich: Nur weil Sie $_REQUEST verwenden können , heißt das nicht, dass Sie es sollten .

Das obige ist der detaillierte Inhalt vonEntschlüsseln Sie das Geheimnis von $ _Request: Wenn Sie bekommen, Post und Cookie Collide. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!