Должен ли я изменить $ _REQUEST на $ _POST
Привет, ребята, вопрос, у меня есть флажок, где список элементов можно проверять и удалять одним нажатием кнопки. В настоящее время я использую запрос , и он выполняет работу, но мне было интересно, является ли $_REQUEST своего рода угрозой безопасности или неправильным. Если у кого-нибудь есть совет, я был бы признателен. Должен ли я перейти на $_POST? Если да, то каков наилучший способ сделать это?
foreach ($_REQUEST as $key=>$value) {
if (substr($key,0,3)==="img") {
$id = substr($key,3);
if(isset($_REQUEST['Delete'])) {
$sql = 'SELECT file_name,username FROM images WHERE id=?';
$stmt = $conn->prepare($sql);
$result=$stmt->execute(array($id));
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
$image=$row['file_name'];
$user=$row['username'];
$myFile = "$user/images/$image";
unlink($myFile);
}
<input id=\"img".$id."\" name=\"img".$id."\" type=\"checkbox\">
-
0Возможная копия Что не так с использованием $ _REQUEST []?Gordon
3 ответа
Да. Вы должны изменить его на $_POST. Всегда используйте соответствующие суперглобалы над $_REQUEST.
Из-за порядка, в котором данные собраны в $_REQUEST, вполне возможно, что ключи не будут такими, какие вы ожидали бы. Это может привести к серьезным последствиям для безопасности. См:
Не проблема безопасности (злоумышленник может обработать любой запрос GET/POST, который он хочет, и даже отправить его из законного браузера пользователя через CSRF), но проблема обслуживания, поскольку случайно значение cookie может перезаписать параметр запроса, Также вы можете столкнуться с проблемами, если принимаете запросы GET, например. удаление файлов - запросы GET считаются безопасными, а пользовательские агенты могут быть либеральными с их отправкой. Вы должны принимать только POST для запросов, которые изменяют данные или внутреннее состояние и GET для всего остального.
По мере того, как ваше приложение растет с помощью $_REQUEST вместо соответствующего массива, безусловно, сделает вашу документацию кошмаром. Использование $_REQUEST для получения значений $_GET или $_POST просто не нужно.
Ещё вопросы
- 1Обнаружение изображения внутри изображения
- 1VideoView воспроизводится нормально, но не отображается при переключении полноэкранных представлений
- 0Форма регистрации дня рождения Trouple
- 0Модульное тестирование отсутствия элемента dom
- 0MYSQL Неправильное использование групповой функции Как разрешить?
- 1Firebase & Google map - читайте данные и создавайте маркеры. Как читать объект?
- 1Как поделиться кодом котлина в IntelliJ IDEA между рабочим столом, android и сервером?
- 0как прекратить действия с помощью JavaScript
- 0Путь к изображению не работает в рамках YII?
- 1Конвертировать PNG-изображение в BLOB-изображение с помощью JavaScript?
- 1Расширение класса, который уже реализует интерфейс
- 0Как запустить два или более SQL-запроса одновременно?
- 1Spring RestTemplate пересылает большой файл в другой сервис
- 0jQuery: сортировка детей по типу
- 1Java Apache Mina, каков риск ошибки слишком большого количества открытых файлов? И как это исправить?
- 0Еще один пример соединения с запросом mysql
- 0JQuery Colorbox IE7 проблема с встроенным AJAX загруженным контентом
- 1Как я могу изменить изображение профиля при нажатии на существующее изображение в angularjs?
- 0как получить доступ к объекту класса A, определенного в main, из другого класса
- 1Hibernate softdelete - индекс столбца вне диапазона исключений при мягком удалении
- 0G ++ с Mountain Lion поддерживает -msse4.2?
- 1Добавление раскрытия двойным щелчком в Tree Viewer в SWT
- 0C ++ NTL (by Victor Shoup): как изобразить бесконечность
- 0HTTP-фейсбук в PHP, возвращающий массив, а не JSON
- 0Код CodeIgniter работает в браузере, умирает в тесте phpunit: вызов неопределенного метода CI_DB_mysql_driver :: where () в (… privacy ..) users.php в строке 36
- 1конвертировать double в строку и показывать десятичные значения только в случае необходимости [duplicate]
- 0JQuery Назначение разницы ширины для элементов <li>
- 1Начальная настройка Android Realm
- 0Mysql, вставить в таблицу из каждой записи из другой таблицы
- 1Bluetooth печать в C # Windows Mobile
- 0Ошибка SELECT после ошибки вставки повторяющегося ключа
- 1найти значение, соответствующее дате в пандах
- 1Смотрите сигнатуру функции где указатель указывает на
- 1Список радиокнопок
- 1AttributeError: у объекта 'numpy.ndarray' нет атрибута 'getdraw'
- 1Распечатайте упаковочный лист «Адрес не указан» через REST API C #
- 1Как остановить службу переднего плана перед вызовом метода startForeground ()?
- 0Как установить src изображения с помощью href из родительского якоря?
- 0только atoi возвращает первую цифру параметра char * [duplicate]
- 1Тесты Androidx - Как установить свойство активности перед вызовом onCreate
- 0C ++ Array передается по ссылке, но как это понять?
- 1Вызов await () для функций приостановки работает неправильно
- 1Сохранить ответ на сервере при отключении сетевого подключения
- 0Можно ли передавать поля формы с одного сайта на другой?
- 1Строка рейтинга показывает половину звезды, несмотря на шаг установки в 1
- 0Запрос $ http.get с несколькими запросами $ http.get внутри него не выполняется должным образом
- 1Панды переиндексируют мультииндекс и сдвигают значения по второму индексу
- 1Как мне получить размеры холста в tkinter?
- 1Как использовать включить в чай?
- 0Изменение выбора не действует с помощью функции выхода мыши
