Как безопасно создавать переменные PHP с извлечением

Ответ 1

Лучший вариант - не использовать extract() вообще. Это плохое дизайнерское решение со времен, когда PHP был эквивалентом влажной туалетной бумаги для написания защищенного кода.

Это может быть болезненно, но гораздо лучше записать длинную последовательность:

$var1 = $_POST['var1'];
$var2 = $_POST['var2'];
etc...

или просто используйте $_POST['var1'] и всю компанию в своем коде.

Как только вы начнете использовать извлечение, вы даете злоумышленникам потенциальный путь в ваш код, независимо от того, сколько времени и усилий вы вкладываете в него. Вы не просверлите отверстие через дверь банковского хранилища, потому что это слишком раздражает, чтобы каждый раз открывать дверь, чтобы выпустить деньги. Как только там будет отверстие, оно будет эксплуатироваться.

Ответ 2

Не используйте extract(), просто используйте foreach() в POST/GET, чтобы создать свой собственный массив/объект. extract() будет кошмаром для отладки, когда ваш код начнет увеличиваться.

Ответ 3

Это достаточно безопасно, если вы используете префикс, который не существует в других переменных:

extract($_POST, EXTR_PREFIX_ALL, 'unique_prefix');

Причина, по которой извлечение может быть опасной, аналогична использованию register_globals.

Ответ 4

Нет ничего плохого в extract, если вы используете его только для частичного извлечения известных входных переменных. Это не самый приятный синтаксис, но выполнимый с помощью:

extract(array_intersect_key($_POST,
        array_flip(array("var1", "var2", "var3", "var4"))));

Это сокращает возможные переменные $_POST и не будет извлекать неожиданные вещи. Общая выгода заключается в том, что вы все равно можете применить некоторую функцию фильтра, используя array_map. В некоторых настройках он уменьшает беспорядок кода по сравнению с индивидуальным копированием переменных.

Ответ 5

Как использовать простой foreach вместо extract():

foreach($_POST as $k => $v) $$k = $v;

Таким образом, вы можете добавить код безопасности в часть $$k = $v;.

Ответ 6

Его опасный для использования экстракт в глобальном масштабе и для _REQUEST, _GET, _POST, _COOKIE.

Однако, если вы разрешаете использовать только переменные, которые вы собираетесь использовать с помощью механизма фильтрации, и отключите все, что приходит извне, вы можете использовать извлечение.

Например, если вы напрямую загружаете _REQUEST, _GET, _POST, _COOKIE в функцию, которая будет делать extract() внутри и выпустить только те, которые вы определяете в return(), тогда вы тоже в безопасности. Поскольку все, что было извлечено, включая переменные от вредоносных попыток, останется внутри области функций и не сможет ничего сделать.

Итак, extract() уважает область действия - все, что вы извлекаете внутри функции, остается внутри этой функции, все, что вы извлекаете внутри метода класса, остается в рамках этого метода класса и не выходит нигде, не позволяя им.

Это означает, что в глобальном масштабе и в области функций/объектов вы можете безопасно использовать извлечение для доверенных данных.

Предполагая, что $args является ассоциативным массивом:

function funny($args)
{
  extract($args);

  // Hereon you can use the variables normally and they will stay in function scope

}

Ваши переменные останутся в пределах функции.

То же самое для метода класса:

class berserker
{
     public function funny($args)
     {
       extract($args);

       // Hereon you can use the variables normally and they will stay in method scope

     }

}