Netbeans 7.4 for PHPでの警告 "スーパーグローバル$_POST配列に直接アクセスしないでください"。

このヒントが追加された理由は、スーパーグローバルは通常ユーザー入力で満たされており、盲目的に信頼されるべきではないからです。その代わりに、何らかのフィルタリングを行う必要があり、それがこのヒントの提案することです。スーパーグローバル値が汚染された内容を持っている場合に備えて、フィルタリングを行います。

例えば、私が持っていたところでは

$_SERVER['SERVER_NAME']

の代わりに

filter_input(INPUT_SERVER, 'SERVER_NAME', FILTER_SANITIZE_STRING)

filter_input と filters のドキュメントはここにあります。

http://www.php.net/manual/en/function.filter-input.php

http://www.php.net/manual/en/filter.filters.php

85

0

解説 (1)

Rauni Lillemets

ソース非AMP版編集

他の回答者と同意見で、ほとんどの場合（ほとんど常に）、入力のサニタイズが必要です。

しかし、このようなコード(RESTコントローラ用です)を考えてみましょう。

$method = $_SERVER['REQUEST_METHOD'];

switch ($method) {
            case 'GET':
                return $this->doGet($request, $object);
            case 'POST':
                return $this->doPost($request, $object);
            case 'PUT':
                return $this->doPut($request, $object);
            case 'DELETE':
                return $this->doDelete($request, $object);
            default:
                return $this->onBadRequest();
}

ここでサニタイズを適用しても、あまり意味がありません (ただし、何も壊れません)。

ですから、推奨事項には従いましょう。ただし、やみくもに従うのではなく、なぜそうするのかを理解してください :)

6

0

解説 (0)

Sani Kamal

ソース非AMP版編集

使用するだけ。

$ _INPUT_METHOD_NAME ['var_name']の代わりにfilter_input(INPUT_METHOD_NAME、 'var_name')。 $ _INPUT_METHOD_NAMEの代わりにfilter_input_array(INPUT_METHOD_NAME)。

例えば

    $host= filter_input(INPUT_SERVER, 'HTTP_HOST');
    echo $host;

代わりに。

    $host= $_SERVER['HTTP_HOST'];
    echo $host;

そして使う。

    var_dump(filter_input_array(INPUT_SERVER));

代わりに。

    var_dump($_SERVER);

N.B:他のすべてのスーパーグローバル変数に適用します。

1

0

解説 (0)

Homerocker · Accepted Answer · 2013-11-09T10:15:50+00:00

ソリューション

Homerocker

ソース非AMP版編集

$_POST['var_name']の代わりにfilter_input(INPUT_POST, 'var_name')<br/> $_POST の代わりに filter_input_array(INPUT_POST) とする。

ralight

編集した答え 9日 11月 2013 в 10:40

91

0

解説 (12)