Was ist eine sichere Möglichkeit, den PHP $ _REQUEST Superglobal zu lesen?

Question

Ich versuche zu lesen Parameter erhalten in einer Weise, die nicht mögliche Sicherheitsprobleme zu öffnen.

Was ich dachte, war die Übereinstimmung der Anfrage Parameter explizit, was ich erwarte und dann einen Standard für alles, was nicht übereinstimmt.

Zum Beispiel:

if ($_REQUEST['media'] == "video") 
    $sort = "video"; 
elseif ($_REQUEST['media'] == "audio") 
    $sort = "audio"; 
else 
    $sort = "both"; 

Ist das genug oder sind weitere Schritte notwendig?

Answer 1

Was Sie erwähnen, ist sicher, aber ist zu ausführlich. eines PHP-Array-Operationen mit Hilfe lassen würde PHP die schmutzige Arbeit für Sie erledigen:

$sort_valid = array('video', 'audio', 'both'); 
$sort = 'both' 
if (isset($_REQUEST['media']) && in_array($_REQUEST['media'], $sort_valid)) { 
    $sort = $_REQUEST['media']; 
} 

Wenn diese Art von superglobalen Parsing im gesamten Code üblich ist, könnte man abstrakt diese in eine Funktion, die es für Sie übernimmt (so viele große PHP-Projekte tun).

---

Wie Gavin erwähnte, es ist auch eine gute Idee, die spezifischen superglobalen zu verwenden, die Sie interessiert sind (das heißt $_GET, $_POST oder $_COOKIE), wenn überhaupt möglich. Es scheint jetzt nicht wichtig zu sein, aber einige hässliche Bugs können durch Benennungskonflikte zwischen den drei Superglobalen entstehen (z. B. sort in $_COOKIE kann sich auf die Standardsortierung der Suchergebnisse beziehen, aber sort in $_GET verweist auf aufsteigende oder absteigende Reihenfolge).

Answer 2

würde ich eine weitere Bedingung hinzu:

$sort = "both"; 
    if (array_key_exists('media', $_REQUEST)) 
    { 
     if ($_REQUEST['media'] == "video") 
      $sort = "video"; 
     elseif ($_REQUEST['media'] == "audio") 
      $sort = "audio"; 
    } 

Und ja, das $ _REQUEST Superglobal ist der empfohlene Weg, um die Anforderung zu lesen.

Answer 3

Es ist wahrscheinlich auch erwähnenswert (wenn Sie sich Sorgen um Sicherheit machen), dass es ziemlich schlecht ist, nicht zu wissen, wo Ihre Daten herkommen. Sie sollten wahrscheinlich entweder $ _GET, $ _POST oder $ _SESSION verwenden, abhängig von der Liefermethode.

Answer 4

einfachste Weg wäre:

$sort='both'; 
$sort_valid = array('video', 'audio'); 
if(isset($_REQUEST['media']) && in_array($_REQUEST['media'], $sort_valid)) $sort=$_REQUEST['media']; 

Answer 5

$valid = array("media" => array("both", "media", "video"), ...); 
$default = array("media" => "both", ...); 

...

// 1. drop invalid keys 
$filtered_on_keys = array_key_intersect($_REQUEST, $valid); 

// 2. drop invalid values 
$filtered_on_values = array(); 

foreach($filtered_on_keys as $key => $value) { 
    if (array_search($value, $_REQUEST($key) !== FALSE) { 
    $filtered_on_values[$key] = $value; 
    } 
} 

// 3. add missing defaults 
$result = array_merge($defaults, $filtered_on_values); 

Answer 6

Stellen Sie sicher wissen, wo die Daten kommen, ist die beste Art und Weise.
// haben wir keine GET-Methode akzeptieren, so, wir $ Medien null
gesetzt // if Methode Post gleich, analysieren wir in int, kommt so whateever
$ _POST, in // es wird nicht in String parsen Modus und wir müssen nicht auf SQL-Injection überprüfen.

(isset($_GET['media']))? $media='': $media=(int)(isset($_POST['media'])) ? $_POST['media'] : ''; 

switch ($media) { 
    case 1: $sort = "video"; break; 
    case 2: $sort = "audio"; break; 
    default: $sort = "both"; break; 
} 

durch die Art und Weise, können Sie über $ _SERVER [ 'REQUEST_METHOD']

// verwenden wir POST-Methode in Form, so lesen ...

if ($ _SERVER ['REQUEST_METHOD'] == "GET") header ('Ort: http://www.disney.com/');