Mailinglisten-Archive |
"Roland Tapken" Sent: Monday, April 29, 2002 1:00 AM
> Am Sun, 28 Apr 2002 09:18:47 +0200 schrieb "Christian Hamacher"
> <christian.hamacher_(at)_epost.de>:
> > Meiner Meinung nach ist die Einführung und der Gebrauch von $_REQUEST
> > genau so dumm wie 'register_globals = On'
>
> Sorry, da widerspreche ich dir. Die Einführung von $_REQUEST ist imho in
> höchstem Maße sinnvoll. Zum einen gibt es Scripte denen die Quelle der
> Daten, ob nun get, post oder cookie, egal ist. Letztendlich sind es alles
> Daten die vom Benutzer her kommen und demnach von vornherein unsicher
> sind.
Na das steht ja außer Frage. Ich zitiere hier mal Kristian Köhntopp
"Traue niemandem. Validiere allen Input oder stirb."
> Zweitens wäre es extrem trügerisch sich darauf zu verlassen das $_POST nur
> von einem Formular und $_COOKIE nur von einem Cookie stammen kann. Denn
> mit ein bisschen KnowHow kann JEDER die entsprechenden Daten "fälschen".
Das alles was man in $_POST findet von einem Formular kommt habe ich auch
nicht behauptet. Aber ich weiß auf welche Methode sie mein Skript erreicht
haben. Und das ist es was ich wissen will.
> $_REQUEST gibt mir meines erachtens sowohl mehr Sicherheit als auch mehr
> Komfort (da Autoglobal) als register_globals = on.
Den Komfort kann ich mir nicht immer Leisten da ich noch auf PHP <= 4.0.6
Rücksicht nehmen muß. Deshalb arbeite ich mit $HTTP_*_VARS.
> Ich setze in meinen
> Scripten nur $_REQUEST ein, gelegentlich auch $_COOKIE. So halte ich mri
> die Möglichkeit offen Formurlardaten zum Beispiel als Link via Get zu
> verschicken.
hmm.. kann es sein das du immer alleine arbeitest?
Gruß
Christian
php::bar PHP Wiki - Listenarchive