extract() - Sicherheit?! - PHP Developer Forum

lsgdcity

Member

Dabei seit: 01.02.2004

Beiträge: 221
- Teilen
- Tweet
#1

extract() - Sicherheit?!

13.03.2006, 18:34

Hallo,

ich benutze EXTRACT, um Array-Variablen von $_GET, $_POST und $_SESSION in normale Variablen umzuwandeln!

PHP-Code:

extract( $_GET , EXTR_PREFIX_ALL , 'g'); //$_GET['id'] --> $g_id if($g_id == 1) echo 'ja'; else echo 'nein';

Wenn ich also mein Script über http://www.domain.de/script.php?id=1 aufrufe, kommt als Ausgabe JA!

Wenn ich nun aber http://www.domain.de/script.php?g_id=1 aufrufe, erscheint ebenfalls JA!

Wie kann ich dies verhindern?

Vielen Dank

gruß
Lukas Schulze
Stichworte: -
Wurzel

Master

Dabei seit: 05.07.2002

Beiträge: 7477
- Teilen
- Tweet
#2

13.03.2006, 19:07

Re: extract() - Sicherheit?!

Original geschrieben von Lukas Schulze
Wie kann ich dies verhindern?

indem du die superglobalen auch so benutzt, wie sie kommen und das extract-gezumpel weglässt. wenn register-global auf "on" stehen, dann passiert z.B. das, was du jetzt bekommst/hast.

Kissolino.com
Kommentar
lsgdcity

Member

Dabei seit: 01.02.2004

Beiträge: 221
- Teilen
- Tweet
#3

13.03.2006, 19:09

Hmmm,

wäre natürlich eine Möglichkeit und leider derzeit auch die Einzige, welche ich finden konnte!

dann werd ich das wohl so machen müssen.

troztdem danke
Kommentar

extract() - Sicherheit?!