Il est fréquent d'utiliser $_REQUEST en remplacement de $_GET et $_POST : quand on peut avoir des données qui entrent indifféremment via l'un ou l'autre méthode. En effet, $_REQUEST rassemble les valeurs des deux tableaux.
Toutefois, il ne faut pas oublier que $_REQUEST inclut aussi les données en provenance des cookies, de l'environnement ou encore des sessions, en fonction de la configuration de PHP. La plus courante est EGPCS. Les cookies arrivent donc après POST et GET, et si vous avez un contrôleur qui se base sur $_REQUEST, il devient possible de bloquer définitivement un utilisateur en lui donnant une valeur de type 'action = logout'.
Bref, si les données doivent venir de POST ou GET, faîtes une condition.
- Responsible use of the $_REQUEST variable
Toutefois, il ne faut pas oublier que $_REQUEST inclut aussi les données en provenance des cookies, de l'environnement ou encore des sessions, en fonction de la configuration de PHP. La plus courante est EGPCS. Les cookies arrivent donc après POST et GET, et si vous avez un contrôleur qui se base sur $_REQUEST, il devient possible de bloquer définitivement un utilisateur en lui donnant une valeur de type 'action = logout'.
Bref, si les données doivent venir de POST ou GET, faîtes une condition.
- Responsible use of the $_REQUEST variable
-
Auteur
-
Origine
