Mailinglisten-Archive |
Hallo Ulf, > Warum willst Du da noch mit HTTP_POST_VARS() hantieren und aufwendig > eine URL generieren? Obiges ist kurzer, klarer und gut zu lesender Code. > Wenn ich auf Code treffe, der an irgendeinem der globalen Arrays > $HTTP_POST_VARS, $HTTP_GET_VARS oder $GLOBALS herumspielt klingeln bei > mir die Alarmglocken und ich schaue zweimal nach, was da zusammengehackt > wird. Ganz der Meinung. Diese Dinger sind doof und überflüssig, weil manipulierbar. www.domain.tld?$HTTP_POST_VARS=nix und wech... In dem Zusammenhang stellt sich mir die Frage, wie ich sicher erfahre, ob eine globale Variable aus einem Cookie stammt oder aus einer normalen Get-Variablen. Mit $HTTP_COOKIE_VARS wäre das überprüfbar, aber mach mal folgendes www.domain.tld?$HTTP_COOKIE_VARS=nix und wech ist das Cookie-Array. Die globalen Variablen sind noch da, aber man weiß nicht mehr, welcher Herkunft sie sind. Es wäre besser, wenn diese 3 Parameterarrays schreibgeschützt wären, dann würde das Problem nicht auftreten. Workaround ? Wie identifiziert man die Herkunft von Variablen (sicher) ? Oder haben wir hier eine designbedingte Falle von PHP für ein sicheres Session Management? mit freundlichen Grüßen, oK.
php::bar PHP Wiki - Listenarchive