$_REQUEST

Paul Delannoy wrote:

STP donne un ex de ceci :
Je ne penses pas que tu puisse y arriver.

<?php

# MQ : classe de test des acces aux variables via _GET, _POST et _REQUEST
# vous pouvez voir que 'id' est parfois visible dans les 2 tableaux GET et POST
#

class Test {

function Test(){
# nope-nope
}

function run(){
$this->make_some_links();
$this->draw_form("?", "simple");
$this->draw_form("?module=main&submodule=display&actionÞlete&id34", "big url");

if(isset($_POST))
$this->debug('post', $_POST);

if(isset($_GET))
$this->debug('get', $_GET);

if(isset($_REQUEST))
$this->debug('request', $_REQUEST);
}

function draw_form($url, $button, $method = 'post'){
echo <<<END

<form method="$method" action="$url">
<input type="text" name="id" value="5678">
<input type="submit" value="$button">
</form>
<br>
<br>

END;
}

function make_some_links(){
echo "quelques liens intéressants : <br>n";
echo "<li><a href="">raz</a> : raz des arguments du get_n";
echo "<li><a href="?id«cdef">id</a> :id = abcdef via un get";

echo "<br><br>n";
}

function debug($name, &$var){
echo "<pre>n";
echo "$name : ";
print_r($var);
echo "</pre>n";
}
}

$test = new Test();
$test->run();

?>

Olivier Miakinen a écrit:

STP donne un ex de ceci :
"...une variable qui se trouve aussi bien dans le $_POST que dans le
$_GET et qui n'ont évidement pas la meme valeur"

Y'a qu'à demander.

<http://www.miakinen.net/vrac/getpost>
Rentre un texte quelconque dans le machin, clique sur Potiron, et tu verras.

Le source est là : <http://www.miakinen.net/vrac/source/getpost>

Au vu de cet exemple, je transforme ma réaction de 'C'est impossible' en
'C'est pas le mieux qui puisse arriver à un code, car il faut truander
pour y arriver'. Mais d'ac, ça ouvre des horizons en matière de sécurité!

<http://www.miakinen.net/vrac/getpost>
Le source est là : <http://www.miakinen.net/vrac/source/getpost>

Au vu de cet exemple, je transforme ma réaction de 'C'est impossible' en
'C'est pas le mieux qui puisse arriver à un code, car il faut truander
pour y arriver'.

Surtout, cela ne présente guère d'intérêt. Mais bon, sachons que cela
existe.

Mais d'ac, ça ouvre des horizons en matière de sécurité!

En matière de sécurité, ou en matière de trous de sécurité ?

Si c'est le premier cas que tu voulais dire -- mais ça m'étonnerait
beaucoup --, je ne vois pas bien à quoi on peut s'en servir pour
améliorer la sécurité.

Et si -- comme je le suppose -- c'est le second cas, je ne vois pas non
plus quels sont les risques. De deux choses l'une : soit tu lis à la
fois $_GET et $_POST ou tu utilises $_REQUEST, et que l'utilisateur ait
utilisé GET ou POST pour envoyer la valeur ne change rien pour toi ;
soit tu ne lis *que* $_GET ou *que* $_POST, et c'est ce que met
l'utilisateur dans l'autre variable qui ne change rien pour toi.


Bref... un truc inutile et pas dangereux.

Marc a dit le 22/09/2004 09:30:

Le tableau $_GET n'existe que pour la requête GET ? J'avais cru que l'on
pouvait mettre des paramètres avec « ? » même dans un POST, et que le
tableau $_GET en rendait alors compte... avais-je tort ?

non
oui.

<form type="post" action"?module=foobar&action34">
</form>

dans ce cas, tu auras les 2 tableaux disponibles.
Déjà, le HTML n'est pas valide (& est un caractère reservé en HTML, qui

doit donc être échappé).
Mais en plus, c'est pas valide selon le protocole HTTP. On ne mélange
pas GET et POST.

Olivier Miakinen a écrit:

<http://www.miakinen.net/vrac/getpost>
Le source est là : <http://www.miakinen.net/vrac/source/getpost>

Au vu de cet exemple, je transforme ma réaction de 'C'est impossible' en
'C'est pas le mieux qui puisse arriver à un code, car il faut truander
pour y arriver'.

Surtout, cela ne présente guère d'intérêt. Mais bon, sachons que cela
existe.

Mais d'ac, ça ouvre des horizons en matière de sécurité!

En matière de sécurité, ou en matière de trous de sécurité ?

Si c'est le premier cas que tu voulais dire -- mais ça m'étonnerait
beaucoup --, je ne vois pas bien à quoi on peut s'en servir pour
améliorer la sécurité.

Et si -- comme je le suppose -- c'est le second cas, je ne vois pas non
plus quels sont les risques. De deux choses l'une : soit tu lis à la
fois $_GET et $_POST ou tu utilises $_REQUEST, et que l'utilisateur ait
utilisé GET ou POST pour envoyer la valeur ne change rien pour toi ;
soit tu ne lis *que* $_GET ou *que* $_POST, et c'est ce que met
l'utilisateur dans l'autre variable qui ne change rien pour toi.

c'est bien du second cas qu'il s'ait. ce que je voulais dire, c'est que
c'est un truc fameux pour s'obliger à tester les variables qui rentrent
dans nos scripts, qq soit la situation....

Bref... un truc inutile et pas dangereux.

Re,

Le tableau $_GET n'existe que pour la requête GET ? J'avais cru que l'on
pouvait mettre des paramètres avec « ? » même dans un POST, et que le
tableau $_GET en rendait alors compte... avais-je tort ?

Bon, mon article d'il y a 5 jours est donc définitivement perdu dans les
méandres d'internet, je reposte donc.

- oui vous avez parfaitement raison, on peut forcer la transmission des
deux types. Mais il s'agit d'une bidouille que d'ailleurs je n'arrive
plus à faire fonctionner sur mozilla version je sais plus quoi, faut que
je reteste.

- la dernière fois que j'ai eut besoin de faire cette bidouille, c'était
en 1998 car le navigateur d'AOL ne avait choisi d'ignorer tout
simplement les champs de type HIDDEN... Donc il n'y avait pas le choix.

En revanche, à l'heure actuelle, je ne vois vraiment pas de cas
nécessitant la bidouille. Si vous en avez, je suis preneur.

a++
JG

Le tableau $_GET n'existe que pour la requête GET ? J'avais cru que l'on
pouvait mettre des paramètres avec « ? » même dans un POST, et que le
tableau $_GET en rendait alors compte... avais-je tort ?

- oui vous avez parfaitement raison, on peut forcer la transmission des
deux types. Mais il s'agit d'une bidouille que d'ailleurs je n'arrive
plus à faire fonctionner sur mozilla version je sais plus quoi, faut que
je reteste.

Le test que j'ai créé de toutes pièces jeudi dernier fonctionne avec
Mozilla 1.6. Je rappelle le lien à tout zazar :
<http://www.miakinen.net/vrac/getpost>
<http://www.miakinen.net/vrac/source/getpost>

- la dernière fois que j'ai eut besoin de faire cette bidouille, c'était
en 1998 car le navigateur d'AOL ne avait choisi d'ignorer tout
simplement les champs de type HIDDEN... Donc il n'y avait pas le choix.

:-)

Je ne savais même pas que cette bidouille pouvait avoir eu une
quelconque utilité ! Comme quoi il ne faut jamais trop critiquer les
trucs inutiles : il arrive une fois sur 10 000 que cela permette de
contourner un bug.

En revanche, à l'heure actuelle, je ne vois vraiment pas de cas
nécessitant la bidouille. Si vous en avez, je suis preneur.

Non, je n'en ai pas. Je ne tiens pas trop à en chercher, d'ailleurs.

John Gallet wrote:

Le tableau $_GET n'existe que pour la requête GET ? J'avais cru que l'on
pouvait mettre des paramètres avec « ? » même dans un POST, et que le
tableau $_GET en rendait alors compte... avais-je tort ?
En revanche, à l'heure actuelle, je ne vois vraiment pas de cas

nécessitant la bidouille. Si vous en avez, je suis preneur.

J'ai un exemple récent d'un système dans lequel j'ai plusieurs cas de
figures:
- envoi simultané de get et de post différents pour gérer l'état d'une
page. Il s'agit en fait d'une interface d'administration dans laquelle
je change de contexte selon que j'appelle admin.php?action=login ou
admin.php?action­d_user (appel depuis un menu) et les données en post
gèrent l'état de la page et les traitements qui en découle.
Ceci est pour permettre aux différents utilisateurs de bookmarquer les
pages utiles.
- envoi de get et de post identiques pour un moteur de recherche pouvant
être utilisé soit de manière interne (donc en post) soit de manière
externe, les sites "partenaires" peuvent avoir des liens de recherche du
type www.monsite.com/recherche.php?object=logiciel+gratuit&prix=0
Dans ce cas, le get prends le pas sur le post pour éviter d'avoir une
recherche sur l'ensemble.

P.S. HS: j'ai moi aussi perdu deux messages sur ce fil, un bug?

--
Tout sur les eggdrops
http://www.c-p-f.org
ML @ eggdrop_fr@yahoogroupes.fr

loufoque wrote:

<form type="post" action"?module=foobar&action34">
</form>

dans ce cas, tu auras les 2 tableaux disponibles.

Déjà, le HTML n'est pas valide (& est un caractère reservé en HTML, qui
doit donc être échappé).

&amp; (ou &#38; si mes souvenirs sont bons), mais ta remarque est
quelque peu HS. Je comprends qu'on puisse écrire simplement & par souci
de lisibilité sur un ng.

Mais en plus, c'est pas valide selon le protocole HTTP. On ne mélange
pas GET et POST.

Source ?
Je ne vois pas de mélange de requête HTTP GET/POST. La requête est bien
POST, simplement le page demandée est :

<résolution d'adresse par le nav.>?module=foobar&action34

Avec la requête :

================================================== POST <résolution d'adresse par le nav.>?module=foobar&action34
Host: ...
...
Content-Length: xxx

champPOST=valeur&autreChamp=...
===================================================

En revanche, à l'heure actuelle, je ne vois vraiment pas de cas
nécessitant la bidouille. Si vous en avez, je suis preneur.

la simplicité peut-être.
on peut facilement récuperer un $_SERVER['REQUEST_URI'] et le taper en
action du formulaire, sans devoir tester la chaine et ajouter les champs
hidden ad hoc ?

il se peut que je raconte des conneries, vous avez vu l'heure ? :)

--
thibaut allender | freelance | http://capsule.org