Sicuramente risparmi righe di codice facendo una lettura dell'array $_POST in quel modo, ma mi viene un dubbio...
infatti in quel modo assegni tutte le variabili contenute in $_POST, ma proprio tutte... e allora se un visitatore è un po' stronzo, utilizza un software tipo webScarab, ti blocca le request, le modifica e inizia a definire variabili post a manetta, magari cercando qualcuno tra quei nomi di variabile che spesso i programmatori usano e si portano dietro per tutto il file da 2000 righe, come risultato ottieni che le variabili vengono riscritte e ridefinite e magari si spu**ana tutto.
Quindi se si vuole usare quel metodo bisognerebbe mettere questa parte di codice
all'inizio di tutto, prima di ogni altra definizione di variabile, in modo che al limite sono quelle iniettate ad essere sovrascritte...Codice PHP:if( $_POST && count($_POST)>0 )
{
foreach($_POST as $n=>$v)
$$n=$v;
}
Probabilmente, Virus_101 fai proprio così, pero' meglio specificarlo per chi magari non ci pensa:
assolutamente non bisogna assegnare variabili prima di quella parte di codice, tantomeno includere file php dove si definiscono variabili che poi vengono utilizzate dopo, occhio alla sicurezza informatica!
Per fare un esempio stupido che non capiterà mai:
Manipolo i post: query=SELECT password FROM userCodice PHP:$query = "SELECT * FROM tabella WHERE id=5";
if( $_POST && count($_POST)>0 )
{
foreach($_POST as $n=>$v)
$$n=$v;
}
echo $var_post;
$results = funzione_per_query($query);
foreach($results as $result) {echo $result};
la query che viene eseguita è quella manipolata e stampo tutte le password degli utenti della piattaforma.
Certo è un esempio elle balle buttato li, comunque è solo per dire che bisogna fare attenzione quando automatizzi la lettura di variabili passate tramite requet, perchè non decidi tu quale leggere e quale no.
Ciao a tutti
Rispondi quotando