исползование extract($_GET)
- Автор темы dilan
- Дата начала
white phoenix
Новичок
dilan
бред. extract для этого не предназначен совершенно. я в своё время нашел уязвимости во множестве популярных движков из-за того что такие умники как ты их писали
да и сейчас зачастую этот баг присутствует. суть очень проста, extract принимает массив в качестве аргумента, и присваивает переменным с названиями идентичными ключам массива, соответствующие значения. иными словами, извлекает содержимое массива в массив $GLOBALS. достаточно сделать script.php?_SERVER[переменная] = значение, и переменная перезапишется. В своих скриптах я использую
код извлекает входящие переменные, если нужно удаляет экранирование кавычек.
бред. extract для этого не предназначен совершенно. я в своё время нашел уязвимости во множестве популярных движков из-за того что такие умники как ты их писали
да и сейчас зачастую этот баг присутствует. суть очень проста, extract принимает массив в качестве аргумента, и присваивает переменным с названиями идентичными ключам массива, соответствующие значения. иными словами, извлекает содержимое массива в массив $GLOBALS. достаточно сделать script.php?_SERVER[переменная] = значение, и переменная перезапишется. В своих скриптах я использую
PHP:
@set_magic_quotes_runtime(0);
if (get_magic_quotes_gpc()) {if (!function_exists("strips")) {function strips(&$arr,$k="") {if (is_array($arr)) {foreach($arr as $k=>$v) {if (strtoupper($k) != "GLOBALS") {strips($arr["$k"]);}}} else {$arr = stripslashes($arr);}}} strips($GLOBALS);}
$_REQUEST = array_merge($_COOKIE,$_GET,$_POST);
foreach($_REQUEST as $k=>$v) {if (!isset($$k)) {$$k = $v;}}white phoenix
Новичок
Фанат
код я писал лично для себя, т.к. мне так удобнее, думаю каждый сам выберет что ему нужно.
> это ещё что за новости?
я решил в своем движке объеденить все входящие переменные, мне кажется так меньше дыр оставляешь когда пишешь код, т.к. нужно четко осознавать тот факт что переменные можно передать любые.
>это закрывает одну дыру, но оставляет другие, не менее классические.
> так что гордиться этим кодом не надо
какие? расскажи если не сложно. кодом я не горжусь, писал на скорую руку.
код я писал лично для себя, т.к. мне так удобнее, думаю каждый сам выберет что ему нужно.
> это ещё что за новости?
я решил в своем движке объеденить все входящие переменные, мне кажется так меньше дыр оставляешь когда пишешь код, т.к. нужно четко осознавать тот факт что переменные можно передать любые.
>это закрывает одну дыру, но оставляет другие, не менее классические.
> так что гордиться этим кодом не надо
какие? расскажи если не сложно. кодом я не горжусь, писал на скорую руку.
а чем тебя оригинальный $_REQUEST не устроил?
о господи
http://php.rinet.ru/manual/ru/security.globals.php
white phoenix
Новичок
Фанат
подумай чем отличается это от $_REQUEST и поймешь зачем мне это нужно
подумай чем отличается это от $_REQUEST и поймешь зачем мне это нужно
texrdcom
Новичок
PHP:
extract($_POST);конечно заменяються для того это и делаеться )
Это такая дыра )))
Нет ни какой дыры если использовать с умом конечно когда вы извелекаете переменные в них может бить все что угодно !
Надо применить меры которые нужны - добавления кавычек удаления спец сиволов там где это надо.
Для чего изпользовать данную конструкцию - лично я использую ее когда мне надо подставить много переменных в определенный sql запрос чтобы не писать для каждой переменной $_POST['fsf']
Извлечения происходит в определенной функции и переменные естественно доступны только в данной функции.
Естественно автоглобал вырубанный )
Так что особой опастности в этом не вижу если вы ее видите и можете показать пример - чиркните.