Le 29 décembre 2014 09:44, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Plop,
Je me demande, vu les modifications apportées par la gestion des champs
masqués (pour les formulaires en method POST), s'il ne faudrait pas gérer
la récup des paramètres ($_GET ou $_POST) via $_REQUEST partout.
A mon sens, les paramètres récupérés en $_POST doivent impérativement
rester en $_POST.
Pour les $_GET vs $_REQUEST, on ne devrait utiliser $_REQUEST que si
le paramètre est susceptible d'être véhiculé (et d'avoir un intérêt)
en POST.
J'ai corrigé un problème survenu avec le passage de certains de
ces
paramètres de la query_string indiquée dans l'URL du formulaire à des
champs cachés dans le formulaire (révision 2884), passage de $_GET )
$_REQUEST pour récupérer les paramètres fournis soit via $_POST, soit via
$_GET (query string).
Est-ce qu'il y a un potentiel problème de sécurité avec ça vu que $_REQUEST
inclut aussi les $_COOKIES ? Ou vaut-il mieux tester la méthode d'appel
(via un test sur $_SERVER['REQUEST_METHOD']) et récupérer le paramètre dans
$_GET ou dans $_POST en fonction de la réponse ?
Bonne question. On peut forcer un ini_set("request_order","GP") pour
ne récupérer que GET et POST. A noter, par défaut sur mon php, il est
déjà à GP, donc les cookies ne sont pas pris en compte.
--
Bruno