Mengapakah Menggunakan `$_REQUEST` dalam PHP Berisiko?

Bahaya Menggunakan $_REQUEST: Kemudahan Palsu

Walaupun pembolehubah $_REQUEST mungkin memberikan kemudahan sementara, ia menyembunyikan masalah asas yang boleh membawa kepada potensi kelemahan keselamatan dan kesilapan tingkah laku.

Kesalahan Kemasukan Kuki Berlebihan

Tidak seperti parameter penyerahan borang ($_GET dan $_POST), kuki ialah entiti yang berbeza yang tidak sepatutnya diuruskan dengan sama. cara. Secara lalai, $_REQUEST menggabungkan ketiga-tiga sumber: $_GET, $_POST dan $_COOKIE. Ini boleh mengakibatkan konflik apabila nama kuki bertepatan dengan parameter borang, menyebabkan parameter ditindih oleh nilai kuki.

Ini boleh menjadi masalah terutamanya apabila berbilang aplikasi berada dalam tapak web yang sama, kerana ia boleh membawa kepada kerosakan bentuk yang tidak disengajakan. Walaupun dengan hanya beberapa pengguna mengekalkan kuki lama, akibatnya mungkin tidak dapat diramalkan dan sukar untuk didiagnosis.

Mengurangkan Risiko

Untuk mengelakkan perangkap ini, adalah dinasihatkan untuk elakkan $_REQUEST. Dalam senario di mana tatasusunan GET dan POST gabungan diperlukan, adalah lebih baik untuk memasangnya secara manual.

Dalam PHP 5.3 dan versi yang lebih baru, anda boleh mengubah tingkah laku lalai $_REQUEST untuk mengecualikan kuki dengan menetapkan konfigurasi request_order kepada "GPC". Walau bagaimanapun, jika ini tidak dapat dilaksanakan, membina tatasusunan gabungan secara manual kekal sebagai pendekatan yang lebih selamat.

Atas ialah kandungan terperinci Mengapakah Menggunakan `$_REQUEST` dalam PHP Berisiko?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!