PHP $_REQUEST数组安全隐患
发布:smiling 来源: PHP粉丝网 添加日期:2014-08-23 11:35:13 浏览: 评论:0
大家都知道使用$_REQUEST可以直接省去了判断post,get一些代码,使用起来更简单,但是如果要详细的去想我们会觉得$_REQUEST太可怕了,下面看分析.
我们都知道,处理表单数据,可以使用PHP的$_GET和$_POST这两个超全局变量,具体是哪个由form表单提交时的method指定,除此之外PHP还为我们提供了$_REQUEST数组,但是其不仅包含$_GET和$_POST的所有数据元素,同时其还会包含$_COOKIE这个超全局数组的所有数据元素.
可是大家有没有想过,如果这三个数组里面的key相同,那么我用$_REQUEST得到的到底是哪个数组的值呢?会不会有什么问题?
我用如下代码为大家做演示,因为只是想说明问题,所以这里面不对$_COOKIE进行设置,请大家自行处理,代码如下:
- <?php
- var_dump($_GET['a'],$_POST['a'],$_REQUEST['a']);
- ?>
- <html>
- <head><title>demo</title></head>
- <body>//开源代码phpfensi.com
- <form method= 'post' action = 'req.php?a=xxx'>
- <input type='hidden' name='a' value='yyy'/>
- <input type='submit' name='submit' value='submit'/>
- </form>
- </body>
- </html>
当我提交表单的时候,我获取的页面内容为:
string(3) "xxx" string(3) "yyy" string(3) "yyy"
同样的内容,在$_REQUEST里面,POST的值覆盖了GET的值,这到底是怎么回事呢?其实这是在PHP的配置文件里面设置的,让我们来看一下php.ini这个配置文件,在第466行左右有如下内容:
- ; This directive describes the order in which PHP registers GET, POST, Cookie,
- ; Environment and Built-in variables (G, P, C, E & S respectively, often
- ; referred to as EGPCS or GPC). Registration is done from left to right, newer
- ; values override older values.
- variables_order = "EGPCS"
这个EGPCS就是说明用$_REQUEST数组获取内容的优先级,其字母的含义分别代表为:E代表$_ENV,G代表$_GET,P代表$_POST,C代表$_COOKIE,S代表$_SESSION。后面出现的数据会覆盖前面写入的数据,其默认的数据写入方式就是EGPCS,所以POST包含的数据将覆盖GET中使用相同关键字的数据.
$_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢,通过post和get方法提交的所有数据都可以通过$_REQUEST数组获得.
Tags: PHP $_REQUEST 数组安全
- 上一篇:php中数组写入文件方法
- 下一篇:php获取表单数组的数据方法
相关文章
- ·php in_array 语法(2013-11-12)
- ·PHP中数组定义的几种方法(2013-11-13)
- ·php session 预定义数组(2013-11-13)
- ·php 读取多维数组方法(2013-11-28)
- ·php 数组之删除空数组程序(2013-11-30)
- ·php删除数组中的空值或指定值操作(2013-11-30)
- ·php对数组元素去重复值(2013-12-03)
- ·php中向数组中插入一元素程序代码(2014-01-03)
- ·php中数组的搜索程序代码(2014-01-06)
- ·php二维数组循环程序代码(2014-01-06)
- ·php数组删除元素各种方法总结(2014-01-06)
- ·php 数组排序各种方法总结(2014-01-06)
- ·PHP数组的高级遍历和操作处理方法(2014-01-07)
- ·PHP获取数组中某元素的位置实例(2014-01-07)
- ·PHP取数组第一个元素与删除数组实例(2014-01-07)
- ·php将数组变量保存到文件(2014-01-08)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)