:strip_icc():strip_exif()/u/13390/1063362747.jpg?f=community)
Als je enige gereedschap een hamer is, ziet elk probleem eruit als een spijker...
:strip_icc():strip_exif()/u/23872/Y2.jpg?f=community)
:strip_icc():strip_exif()/u/5855/BDKAMZi.jpg?f=community)
:strip_exif()/u/157466/shyguy.gif?f=community)
:strip_icc():strip_exif()/u/11014/27337_1472854245_8919_q.jpg?f=community)
/u/195222/stewie_eyes2.png?f=community)
:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
/u/1695/jumpman60.png?f=community)
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
Ik ben het met je eens dat het een gooed practice is om get, session en post los van elkaar te gebruiken. Maar het gaat hier puur om security. Stel je hebt een huis met 3 identieke voordeuren naast elkaar die allen niet op slot staan, dan maakt het mij niet uit door welke de inbrekers zijn binnen gekomen hoor.
Edit: @Janoz
You got me there, ja zo had ik er nog niet over gedacht.
[ Voor 3% gewijzigd door cspare op 14-12-2007 11:59 ]
The one who says it cannot be done, should never interrupt the one who is doing it.
:strip_icc():strip_exif()/u/77332/crop5e54ec42433bc_cropped.jpeg?f=community)
:strip_exif()/u/47168/loop.gif?f=community)
Tja, of je leest de reactie van Janoz, want hij noemt dus wel een serieuze security risk. En met de opmerking dat hele volkstammen het verschil tussen GET en POST (idempotentie) niet weten kan ik het ook alleen maar roerend eens zijn.
9 vd 10x komt een bepaalde parameter alleen maar via 1 bepaalde vorm van input binnen en als je dan $_REQUEST gebruikt ben je imo gewoon lui/laks.
9 vd 10x komt een bepaalde parameter alleen maar via 1 bepaalde vorm van input binnen en als je dan $_REQUEST gebruikt ben je imo gewoon lui/laks.
{signature}
/u/102105/crop56f481fe1f74f.png?f=community)
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community)
/u/196864/crop5a324ef3b111d_cropped.png?f=community)
Je kan op die manier alleen nooit meerdere types gelijktijdig ondersteunen als je dat (al) zou willen. Dus een GET 'name' en een POST 'name' en eventueel ook nog een COOKIE 'name'
Verder, als je toch al een "request" klasse gebruikt, dan is het een kleine moeite om deze al deze verschillende types te ondersteunen waardoor je alsnog kan zien waar je variabele vandaan komt.
Dat weet je nu ook al niet met $_REQUEST, hoewel je wel in kunt stellen wat de prioriteiten zijn van get, post en cookies door middel van de gpc_order setting. (Default is in die volgorde).:
[...]
Je kan op die manier alleen nooit meerdere types gelijktijdig ondersteunen als je dat (al) zou willen. Dus een GET 'name' en een POST 'name' en eventueel ook nog een COOKIE 'name'
Enkel hoef je over het algemeen niet te weten waar je request variabele vandaan komt (zolang je maar weet dat 't een request variabele is) in de meeste gevallen wil je het toch hetzelfde afhandelen. (Hoewel dat bij REST nog wel eens tegen zou kunnen vallen natuurlijk maar dan moet je toch al een nieuw mechanisme bedenken; er is immers geen $_PUT en $_DELETE oid). Daarbij; je weet toch al zo min mogelijk van je data af, het is immers allemaal een string, en dat is ook bewust gedaan.
Verder kan mijn request object wel herkennen wat de oorspong is van een variabele; alleen raad ik het gebruik daarvan (natuurlijk) af, om de controllers flexibel te houden, zo is het ondersteunen van een ander request type letterlijk binnen 5 minuten gedaan.
Leesvoer voor een groot gedeelte van de mensen hier:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
Graag 9.1.1 en 9.1.2 doornemen...
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
Graag 9.1.1 en 9.1.2 doornemen
...
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
Mm het blijkt dus dat meningen nog enigszins verdeeld zijn. Maar toch hoor ik meer goede argumenten om gewoon netjes GPC te gebruiken ipv request.
Ik kan me niet helemaal aan het idee ontrekken dat $_REQUEST ook een beetje een luie manier van proggen is... ik denk dat dat komt omdat ik denk dat elke programmeur een controlefreak moet worden om een echte professional te worden. En als je een controlefreak bent, dan wil je ook controle hebben over waar je input vandaan komt... maar goed, das mijn mening...
Ik kan me niet helemaal aan het idee ontrekken dat $_REQUEST ook een beetje een luie manier van proggen is... ik denk dat dat komt omdat ik denk dat elke programmeur een controlefreak moet worden om een echte professional te worden. En als je een controlefreak bent, dan wil je ook controle hebben over waar je input vandaan komt... maar goed, das mijn mening...
Als je enige gereedschap een hamer is, ziet elk probleem eruit als een spijker...
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
Ik gebruik het wisselend. Wanneer ik forms afhandel, bijvoorbeeld een registratieform, dan gebruik ik $_POST. Ik wil niet dat een of andere geinponem op een forum leuk een volledig uitgewerkte url spamt en zo een actie uitvoert die niet zou mogen worden uitgevoerd.
Als ik een list.php heb die gegevens uit de database plukt, dan wil ik dat kunnen pagineren met gewone hyperlinks. Maak ik echter een form, dan wil ik dat ook via POST kunnen ondersteunen.
De invoer die ik ontvang controleer ik toch wel op geldigheid, bij iets triviaals als data listen maakt het me niet uit of ik het paginanummer via GET, POST of COOKIE binnenkrijg (al is COOKIE wel lastig voor de eindgebruiker om aan te passen
), dus doe ik het met $_REQUEST.
Als ik een list.php heb die gegevens uit de database plukt, dan wil ik dat kunnen pagineren met gewone hyperlinks. Maak ik echter een form, dan wil ik dat ook via POST kunnen ondersteunen.
De invoer die ik ontvang controleer ik toch wel op geldigheid, bij iets triviaals als data listen maakt het me niet uit of ik het paginanummer via GET, POST of COOKIE binnenkrijg (al is COOKIE wel lastig voor de eindgebruiker om aan te passen
), dus doe ik het met $_REQUEST.
We are shaping the future
/u/34216/avatar-60x60.png?f=community){kind=avatar}
/u/35984/crop67a0be11e3453_cropped.png?f=community)
Hangt een beetje van je optiek af: als je een goed abstract systeem hebt hoort dat systeem als geheel welliswaar zoveel mogelijk manieren van input goed af te kunnen handelen, maar de interface hoort er wel voor te zorgen dat alles wat eenmaal het systeem in is gekomen goed en veilig is. Security at the door zogezegd, eventueel met raw toegang tot de onbeveiligde data indien dat echt nodig is. Classe variabelen bijvoorbeeld zal ik bijna altijd private maken met een specifieke methode om ze te getten en setten waar nodig, zodat ik altijd zeker weet dat wat er in die variabele staat veilig is voor members om te gebruiken.
Zo heb ik een tijdje terug een databasebulk class geschreven die 2 parameters wenst: tabelnaam en een array. Die array mag werkelijkwaar alles zijn, zelfs een string mocht je dat leuk vinden
. De klasse gaat daarna aan de hand van de tabelnaam kijken wat voor kolommen er zijn, wat het type van elke kolom is, wat de lengte van elke kolom is en of'ie leeg mag zijn en vervolgens kijken of de members van de array onder die voorwaarden geinsert / geupdate kan worden. Voor de gebruiker toe betekend dit dat hij geen enkele check meer hoeft te doen (afgezien van logica checks natuurlijk ), voor mij betekend dit dat voor ik een daadwerkelijke insert doe ik zeker weet dat alle variabelen precies het goede type en formaat zijn (en natuurlijk geescaped ).
Of het GET of POST is, is toch echt de belangrijkste eigenschap voor wat voor soort request het is.
Als je niet voor goed gebruik van het HTTP protocol bent, laat dan maar het hele security verhaal zitten, want dan hoef ik jouw web app al niet meer.
Het kan best dat je niet overal deze superglobals wil gebruiken, maar in de beginfase van je script moet gewoon iets zitten wat input correct afhandelt en om de communicatie correct te laten verlopen moet je het verschil tussen GET en POST weten.
Het leuke is dat als je het verschil kent (ik noemde al het woord idempotent en Janoz heeft inmiddels linkjes gegeven naar een stukje over idempotentie), dat je automatisch een heel hoop security issues vanzelf vermijd.
Een user verwijderen? Goh, dat verandert iets, dus POST. En voila, geen probleem als een aanvaller een keer een link produceert in de hoop dat een ingelogde admin er iets mee doet.
{signature}
Hmmm nou laat ik het zo zeggen dat ik tussen $_GET en $_POST als ik ze ontvang eigenlijk een even strenge controle hang, maar dat ik alleen voor lezen $_GET gebruik. In het licht van waar deze discussie naar toe ging zit er dan inderdaad geen verschil tussen.:
[...]
Of het GET of POST is, is toch echt de belangrijkste eigenschap voor wat voor soort request het is.
Als je niet voor goed gebruik van het HTTP protocol bent, laat dan maar het hele security verhaal zitten, want dan hoef ik jouw web app al niet meer.
Het kan best dat je niet overal deze superglobals wil gebruiken, maar in de beginfase van je script moet gewoon iets zitten wat input correct afhandelt en om de communicatie correct te laten verlopen moet je het verschil tussen GET en POST weten.
Het leuke is dat als je het verschil kent (ik noemde al het woord idempotent en Jazon heeft inmiddels linkjes gegeven naar een stukje over idempotentie), dat je automatisch een heel hoop security issues vanzelf vermijd.
iOS developer
:
[...]
Of het GET of POST is, is toch echt de belangrijkste eigenschap voor wat voor soort request het is.
PHP:
1
| return $_SERVER['REQUEST_METHOD'] == 'POST'; |
En dan verder je gegevens uit $_REQUEST trekken omdat het echt niet uitmaakt of je data uit de URL, een cookie of een formulier komt.
Vergis je niet, er zijn meer request methods als enkel POST; in een REST applicatie wil je bijvoorbeeld vaak DELETE, PUT en HEAD ook afhandelen.Als je niet voor goed gebruik van het HTTP protocol bent, laat dan maar het hele security verhaal zitten, want dan hoef ik jouw web app al niet meer.
[...]
Goh, dat verandert iets, dus POST. En voila, geen probleem als een aanvaller een keer een link produceert in de hoop dat een ingelogde admin er iets mee doet.
[ Voor 8% gewijzigd door PrisonerOfPain op 17-12-2007 08:32 ]
Dat weet ik, maar GET en POST worden het meest door elkaar gebruikt. En veel mensen hebben de andere methodes nooit nodig, dus die spreken minder tot de verbeelding.
Overigens is jouw reply wel ironisch, want met $_REQUEST scheer je zelf alle methods over 1 kam.
Overigens is jouw reply wel ironisch, want met $_REQUEST scheer je zelf alle methods over 1 kam.
[ Voor 23% gewijzigd door Voutloos op 17-12-2007 08:36 ]
{signature}
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
:strip_exif()/u/7759/red_cat.gif?f=community)
Pagina: 1