php $_REQUEST 数据错误

最新推荐文章于 2023-12-06 20:32:20 发布
原创 最新推荐文章于 2023-12-06 20:32:20 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在使用ThinkPHP 3.2框架时遇到的一个关于REQUEST数据获取的奇怪问题。具体表现为通过$_REQUEST获取的数据与前端传入的数据不一致的现象,并分析了可能的原因及解决方法。 

陈永鹏的微博

陈永鹏的csdn博客地址:http://blog.youkuaiyun.com/chenyoper
陈永鹏的博客园地址:http://www.cnblogs.com/Yoperchen/

记录个奇怪的问题

在thinkphp3.2 通过REQUEST获取某数据的时候,一直跟前端传输过来的不一致。

且有个现象:

1.在入口文件中第一行打印$_REQUEST的数据是正确的。

2.在项目Controller文件中打印$_REQUEST则部分是跟 1 不一致。

这个不一致的值跟cookie的键是一样的,且收到的是同键名的cookie的值。


版本5.3以上,php.ini中有request_order属性来设置$_REQUEST。查了下php.ini, request_order设置成为了GPC(Get and Post cookie)。

G,P,C的先后顺序就是设置的array的覆盖顺序。但是即使这样,在入口文件和Controller文件一样打印(print_r($_REQUEST))也应是一致的。


查看了php.ini ,request_order="CGP"

也许是TP内部做了什么处理。

全局搜索了一下,框架中也没有去设置request_order的地方.


此问题留待探究.


但综上,直接采用POST 或GET 获取数据即可。





作者:陈永鹏
邮箱:chen.yong.peng@foxmail.com
转载请注明作者陈永鹏优快云博客地址:http://blog.youkuaiyun.com/chenyoper






零零糖

php提交表单时判断 if($_POST[submit])与 if(isset($_POST[submit])) 的区别
10-28
这种写法简洁明了,但如果`'submit'`键在`$_POST`数组中不存在,PHP会尝试去获取这个未定义的变量,这将导致一个E_NOTICE级别的错误,显示“Undefined index: submit”。错误信息会显示在服务器日志或,如果错误报告...
PHP利用超级全局变量$_POST来接收表单数据的实例
12-18
- `$_REQUEST`:包含了`$_GET`, `$_POST`和`$_COOKIE`中的所有数据,应当谨慎使用,因为它可能引入安全风险。 - `$_SERVER`:包含了服务器和环境信息,如PHP_SELF用于获取当前执行脚本的文件名。 - `$GLOBALS`:访问...
php$_REQUEST取值为空
weixin_34280237的博客
07-17 2276
默认的 $_REQUEST 会获取 $_POST, $_GET, $_COOKIE的数据,这些可以通过查看 php.ini来确认: 由上图可以看出,获取的内容是通过 variables_order 和 request_order 来决定的, EGPCS 的意思:        E  ----  $_ENV        G  ----  $_GET        P  -----  $_POST ...
$_requestphp里,PHP使用$_REQUEST要小心
weixin_32700139的博客
03-10 2669
PHP使用$_REQUEST要小心作者:jao 发布于:2012-12-27 22:11分类:PHP教程先说说我个人的经历。在某个报表的程序里,我使用了$_REQUEST来接收要查询某个条件的数据$_REQUEST['from'],如果没有传递来(默认),我就会获取已有数据的from中第一个。做出来后,在我的机上运行测试通过,传到服务器上,测试通过。在验收的时候,出bug了,而且这个bug很奇怪...
解析php$_REQUEST的用法
热门推荐
vip_linux的专栏
09-10 1万+
本文介绍下,php$_REQUEST的具体用法,通过几个例子,帮助大家理解。 有关php$_REQUEST的用法,很多资料上都有介绍。 在php手册中,这个变量解释为:"默认情况下包含了 $_GET,$_POST 和 $_COOKIE 的数组。" 注意其中包含cookie的内容,做个测试: 1 2
php 获取不到user,Laravel 前台登录后别的控制器获取不到 user 信息?
weixin_33554514的博客
03-20 791
只能在登录的控制器获取user信息UserController.php:namespace App\Http\Controllers\Home;use Illuminate\Http\Request;class UserController extends BaseController{public function register(){return view('home.user.regist...
慎用PHP$_REQUEST数组
hbcyq的博客
12-30 469
我平时总是喜欢用$_REQUEST这个数组,不是因为别的,简单,而且想用GET时候就用GET直接测试即可。还可以把URL打出来,很是方便。从而很少用$_GET和$_POST超全局变量。    不过,从今以后我会尽量不再使用$_REQUEST这个数组,因为以前对这个数组有些一知半解,总以为用起来简单,并且随心所欲,和$_GET与$_POST一样,而且由系统为我判断,多好。下面我就来简单的介绍一
PHP$_SERVER使用说明
10-23
访问当前页面所需的URI可以通过$_SERVER['REQUEST_URI']来获取,这对于实现重定向和处理请求非常重要。 当PHP运行在Apache模块方式并使用HTTP认证时,$_SERVER['PHP_AUTH_USER']、$_SERVER['PHP_AUTH_PW']和$_...
PHP$_FILES的使用方法及注意事项说明
12-18
if ($_SERVER["REQUEST_METHOD"] == "POST") { if ($_FILES['myFile']['error'] === UPLOAD_ERR_OK) { // 文件上传成功 $fileName = $_FILES['myFile']['name']; $fileType = $_FILES['myFile']['type']; $file...
PHP$_SERVER的详细参数与说明
10-30
在使用$_SERVER超全局变量时,需要注意它依赖于Web服务器如何处理头信息,以及客户端如何发送数据。对于某些参数,如$_SERVER['REMOTE_ADDR'],其内容可能被客户端欺骗,特别是当HTTP请求通过代理或者负载均衡器时。...
ThinkPHP 3.2 常用内置函数
qq_42982191的博客
10-23 1144
ThinkPHP常用内置函数整理
php教材中头部搜索案例提交,PHP获取当前所有请求头信息
weixin_30949015的博客
03-09 398
在开发借口满天飞的现在,我们经常要写接口。而接口的连接大部分都依赖HTTP。在PHP中我比较熟悉的是用curl方法去写HTTP请求。当然,这是发送HTTP请求的。今天我要讲的是我们作为验证方,接收HTTP请求是获取请求头得方法。PHP是内置了那么一个方法来获取请求报文的。叫apache_request_headers()。顾名思义,这是在apache环境下才能运行的。记住,是apache环境才能使...
thinkphp6怎么获取Request请求?
开心的专栏
10-25 1474
thinkphp6怎么获取Request请求?
php上传文件失败、PHP$_REQUEST取值为空或者
心猿意码的博客
12-06 580
新部署了一个linux的php环境,发现文件上传总是时好时坏,后来发现是php配置的问题。vim /etc/php.ini,搜索。
ThinkPHP3.2——文件上传
jinyeweiyang的专栏
11-06 1702
上传表单 在ThinkPHP中使用上传功能无需进行特别处理。例如,下面是一个带有附件上传的表单提交: action="__URL__/upload" enctype="multipart/form-data" method="post" > type="text" name="name" /> type="file" name="photo" /> type="submit" value
THINKphp中常见的Request请求类
banmaodiao1290的博客
12-14 690
p($request->domain()); // 获取当前域名 https://jd3.kissneck.com p($request->baseFile()); // 获取当前入口文件 /jdcrm/public/index.php p($request->url()); // 获取当...
ThinkPHP3.2学习笔记5
DonkeyL's
11-18 395
ThinkPHP学习笔记5——AR模式介绍AR模式的CURD操作增加操作 介绍 AR模式即Active Record模式,是一个对象-关系映射(ORM)技术。每个AR类代表一张数据表(或视图)。数据表(或视图)的字段在AR类中体现为类的属性,一个AR实例则表示表中的一行。 AR模式的核心:三个映射/对应 AR类 —— 表 (模型类关联了表) AR类的属性 —— 表的字段 AR类实例 —— 表的记录...
php中使用$_POST或者$_REQUEST接收数据时丢失导致不完整
Tiramisu_5的博客
10-14 1440
在有的时候需要服务器A向服务器B传入数据,在服务器B中进行处理。如果是php5.3之前的版本没有问题,但是现在应该都是7.0左右 这个原因有可能是因为php在5.3的版本之后在php.ini中加了max_input_vars这个值 但是max_input_vars的默认值是1000,所以会导致参数接收的时候丢失。 处理方法是将max_input_vars的值改成2000或者更大 然后重启p...
$user= $_REQUEST['user']; $pass= $_REQUEST['password']; echo $_REQUEST['user']; echo $_REQUEST['password']; $name = htmlspecialchars($_REQUEST['username']); $password = htmlspecialchars($_REQUEST['password']);
最新发布
03-11
<think>嗯,用户给了一段PHP代码,看起来是关于处理用户输入的安全问题。首先,我需要仔细看看这段代码有什么问题或者需要注意的地方。让我先逐行分析一下。 首先,用户用了`$user = $_REQUEST['user'];`和`$pass = $_REQUEST['password'];`,然后直接通过`echo`输出了`$_REQUEST['user']`和`$_REQUEST['password']`。接下来,他们又用了`htmlspecialchars`函数来处理`$_REQUEST['username']`和`$_REQUEST['password']`,赋值给`$name`和`$password`。 这里有几个点需要注意。首先,`$_REQUEST`超全局变量包含了`$_GET`、`$_POST`和`$_COOKIE`的数据,所以使用它的时候要确保知道数据来源,避免安全风险。然后,用户直接回显了用户输入的数据,这可能导致XSS攻击,特别是如果这些数据被输出到HTML页面中的话。不过后面用了`htmlspecialchars`处理,这可以转义HTML特殊字符,防止XSS。不过注意到变量名可能不一致,比如`$_REQUEST['user']`和`$_REQUEST['username']`,这可能是拼写错误,会导致未定义的索引错误。 另外,密码处理方面,直接存储明文密码到变量中不安全,应该使用密码哈希函数如`password_hash`来加密。而且,变量命名方面,`$pass`和`$password`可能混淆,建议统一命名。还有,在输出用户输入前没有进行过滤,虽然后面用了`htmlspecialchars`,但前面的`echo`直接输出可能存在风险,应该确保所有输出都经过转义。 总结下来,主要问题包括变量名不一致、XSS漏洞风险、密码处理不安全、使用`$_REQUEST`可能存在的数据来源不确定性,以及未进行输入验证。需要指导用户如何修正这些问题,比如统一变量名,始终使用`htmlspecialchars`转义输出,使用`password_hash`处理密码,优先使用`$_POST`或`$_GET`明确数据来源,以及添加输入验证等。</think>让我们逐步分析这段PHP代码并指出需要注意的安全问题和改进方案: $\boxed{代码分析}$ 1. 变量名不一致问题 - 第一行使用`$_REQUEST['user']` - 第四行使用`$_REQUEST['username']` - 这里存在变量名不一致的拼写错误,会导致未定义的索引错误 2. XSS漏洞风险 - 直接输出用户输入:`echo $_REQUEST['user']` - 正确做法应始终使用:`echo htmlspecialchars($_REQUEST['user'])` 3. 密码处理问题 - 将密码明文存储在变量中:`$pass = $_REQUEST['password']` - 建议使用密码哈希函数: ```php $password_hash = password_hash($_REQUEST['password'], PASSWORD_DEFAULT); ``` $\boxed{安全改进方案}$ 1. 统一变量命名 ```php $username = $_REQUEST['username']; $password = $_REQUEST['password']; ``` 2. 输出转义规范 ```php echo htmlspecialchars($username, ENT_QUOTES, 'UTF-8'); echo htmlspecialchars($password, ENT_QUOTES, 'UTF-8'); ``` 3. 输入验证加强 ```php if (!isset($_REQUEST['username']) || empty(trim($_REQUEST['username']))) { die("用户名不能为空"); } ``` $\boxed{最佳实践建议}$ 1. 优先使用明确请求方法 ```php // 使用POST方式获取 $username = $_POST['username'] ?? ''; ``` 2. 密码安全处理 ```php if (password_verify($input_password, $stored_hash)) { // 验证通过 } ``` 3. 使用过滤器验证输入 ```php $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL); ``` $\boxed{最终安全代码示例}$ ```php // 接收并验证输入 $username = htmlspecialchars($_POST['username'] ?? '', ENT_QUOTES, 'UTF-8'); $password = $_POST['password'] ?? ''; // 密码哈希处理 if (!empty($password)) { $password_hash = password_hash($password, PASSWORD_DEFAULT); } // 安全输出 echo "用户名:" . $username; // 密码不应回显到页面 ``` $\boxed{关键安全要点}$ 1. 所有用户输入都应视为不可信数据 2. 输出时始终使用htmlspecialchars()转义 3. 密码必须使用password_hash()加密存储 4. 推荐使用PHP过滤器函数验证输入格式 5. 避免混用$_REQUEST,明确指定$_GET/$_POST
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值