Le 29 décembre 2014 09:44, Franck Paul <[email protected]> a écrit :
> Plop,
>
> Je me demande, vu les modifications apportées par la gestion des champs
> masqués (pour les formulaires en method POST), s'il ne faudrait pas gérer
> la récup des paramètres ($_GET ou $_POST) via $_REQUEST partout.
A mon sens, les paramètres récupérés en $_POST doivent impérativement
rester en $_POST.
Pour les $_GET vs $_REQUEST, on ne devrait utiliser $_REQUEST que si
le paramètre est susceptible d'être véhiculé (et d'avoir un intérêt)
en POST.
> J'ai corrigé un problème survenu avec le passage de certains de ces
> paramètres de la query_string indiquée dans l'URL du formulaire à des
> champs cachés dans le formulaire (révision 2884), passage de $_GET )
> $_REQUEST pour récupérer les paramètres fournis soit via $_POST, soit via
> $_GET (query string).
>
> Est-ce qu'il y a un potentiel problème de sécurité avec ça vu que $_REQUEST
> inclut aussi les $_COOKIES ? Ou vaut-il mieux tester la méthode d'appel
> (via un test sur $_SERVER['REQUEST_METHOD']) et récupérer le paramètre dans
> $_GET ou dans $_POST en fonction de la réponse ?
Bonne question. On peut forcer un ini_set("request_order","GP") pour
ne récupérer que GET et POST. A noter, par défaut sur mon php, il est
déjà à GP, donc les cookies ne sont pas pris en compte.
--
Bruno
--
Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
