09/10/2018, 23:50

GET, POST và dùng biến $.

Công ty tôi đang dùng code viết bằng PHP, nhưng code này không hiểu thuê bọn nào viết mà nó chỉ lấy giá trị bằng cách VD: $name = $txtname, (trong đó txtname là giá trị post từ form qua), chứ không dùng GET hoặc POST : $name = $_POST[txtname]; như thông thừong vẫn dùng trong PHP. Xin hỏi các bác nếu cứ để code chạy như vậy thì có nguy hại nhiều cho website không nhỉ vì tôi biết nếu truyền biến qua URL như vậy thì hacker rất dễ xâm nhập? Nhưng bây giờ ngồi mà sửa lại code thì mất thời gian quá.

Về Đâu viết 01:52 ngày 10/10/2018

Biến chỉ có thể truyền theo kiểu post hoặc get. tùy trường hợp nào xài biến nào thôi. Còn về cái vụ $txtname gì đó thì cũng khó nói có thể đã define ở đâu đó rồi

. nếu coder ko lười thì ko thể hack qua biến get đc bạn à.

jiSh@n viết 02:06 ngày 10/10/2018

Mấy thằng lười nó dùng register_global ON đấy mà. Hoặc cũng có thể là code quá cũ ròi.

nhunet viết 01:57 ngày 10/10/2018

$txtname chính là tên của element bên form được post qua. Việc sử dụng $_POST, $_GET hay không là do cấu hình trong file php.ini
biến register_globals
Xét về security thì như Về Đâu đã nói.

cái nick đó viết 02:06 ngày 10/10/2018

PHP chuối nhỉ! Sao lại đẻ ra cái tính năng dở hơi thế không biết.

jiSh@n viết 02:05 ngày 10/10/2018

Đồ cổ ấy mà

pcdinh viết 01:58 ngày 10/10/2018

Nhìn code là biết bác coder đó có background từ ASP

Tớ đã bị một quả như vậy lúc về công ty hiện tại. Nói chung tinh thần là gặp thứ code đó tôi không sửa. Tôi viết lại tất. Thứ code đó quá già để có thể sống đến PHP 5.2 nên tốt nhất là giết chết nó đi.

cái nick đó viết 01:53 ngày 10/10/2018

thật may là PHP6 cái này sẽ được removed chính thức!

haindse viết 02:00 ngày 10/10/2018

Code đó đúng là viết từ 2004 nhưng hiện tại vẫn chạy tốt. Tôi chỉ muốn hỏi về mặt security thì thế nào thôi.

TheHeTre viết 01:56 ngày 10/10/2018