[PHP 5.1] extract de $_POST [Résolu]

[christele_r]

Bonjour,

J'ais lue, que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

extract($_POST);

était obselete,
ors cette fonction est toujours décrite dans php.net avec quelques réserves
Je voudrait votre avis, sachant que bien entendu mes sites ont
register_globals = Off dans php.ini
Merci d'avance.

[Benjamin Delespierre]

Pour des raisons de sécurité, je te déconseille très fortement d'extraire les données de $_POST ou $_GET ou encore $_REQUEST.

La raison est que extract manipule la table des symboles pour injecter de nouvelles variables dans le scope courant, en écrasant celles qui pouvaient déjà s'y trouver. De ce fait, un utilisateur un peu malin s'étant rendu compte du comportement peut s'en servir pour briser la sécurité.

Le mieux à faire est encore de réccupérer les doonées saines, après le passage dans un filtre. On peut ensuite vouloir les extraires tant qu'on sait exactement ce qu'on fait.

Voici ce que je te recommande de faire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
$inputs = filter_input_array(INPUT_POST, array(
  'a' => FILTER_SANITIZE_STRING,
  'b' => FILTER_VALIDATE_EMAIL,
  'c' => array(
    'filter' => FILTER_VALIDATE_INT,
    'flags'  => FILTER_REQUIRE_ARRAY,
  )
);
 
extract($inputs, EXTR_PREFIX_ALL, "_in_");
 
echo "a: {$_in_a}, b: {$_in_b}, c: ".implode(',', $_in_c);

Garde à l'esprit que manipuler la table des symboles au runtime reste dangereux et doit être utilisé avec précaution et parcimonie.

Dans tout les cas, il faut SYSTÉMATIQUEMENT vérifier les données utilisateur.

[christele_r]

Super merci a toi,
c'est limpide
Christele