Call me crazy, but it seems to me that if you use this function, even WITH the prefix, then you might as well just turn register_globals back on...
Sooner or later, somebody will find a "hole" with your prefixed variables in an un-initialized variable.
Better to import precisely the variables you need, and initialize anything else properly.
import_request_variables
(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)
import_request_variables — Importă variabilele GET/POST/Cookie în circumstanța globală
Descrierea
import_request_variables
( string
$types
[, string $prefix
] ) : boolImportă variabilele GET/POST/Cookie în circumstanța globală. Această funcție este utilă dacă ați dezactivat register_globals, însă doriți să aveți acces la unele variabile din circumstanța globală.
Dacă vă interesează importul altor variabile în circumstanța globală, cum ar fi $_SERVER, considerați utilizarea extract().
Avertizare
Această facilitate a fost ÎNVECHITĂ începând cu PHP 5.3.0 și ELIMINATĂ începând cu PHP 5.4.0.
Parametri
-
types -
Utilizând parametrul
typesputeți specifica care variabile de interpelare vor fi importate. Puteți utiliza caracterele 'G', 'P' și 'C' respectiv pentru GET, POST și Cookie. Nu importă dacă caracterele sunt majuscule sau minuscule, de aceea puteți utiliza orice combinație cu 'g', 'p' și 'c'. POST include și informația despre fișierele încărcate prin metoda POST.Notă:
Observați că ordinea literelor contează, de aceea la utilizarea "
GP" variabilele POST vor acoperi variabilele GET cu același nume. Orice alte litere decât GPC sunt ignorate. -
prefix -
Prefixul denumirilor variabilelor, plasat înaintea denumirilor tuturor variabilelor importate în circumstanța globală. Deci dacă aveți o valoare GET denumită "
userid" și indicați prefixul "pref_", atunci veți obține o variabilă globală denumită $pref_userid.Notă:
Cu toate că parametrul
prefixeste opțional, veți obține o eroare de nivelE_NOTICEdacă nu specificați un prefix, sau specificați un string vid în calitate de prefix. Acesta probabil că nu este un pericol de securitate. Erorile de nivel notice nu sunt afișate la nivelul de raportare al erorilor implicit.
Valorile întoarse
Întoarce valoarea TRUE în cazul
succesului sau FALSE în cazul eșecului.
Exemple
Example #1 Exemplu import_request_variables()
<?php
// Aceasta va importa variabilele GET și POST
// și le va prefixa cu "rvar_"
import_request_variables("gp", "rvar_");
echo $rvar_foo;
?>
A se vedea și
- $_REQUEST
- register_globals
- Variabilele predefinite
- extract() - Import variables into the current symbol table from an array
add a note
User Contributed Notes 6 notes
ceo AT l-i-e DOT com ¶
19 years ago
brian at enchanter dot net ¶
19 years ago
import_request_variables does *not* read from the $_GET, $_POST, or $_COOKIE arrays - it reads the data directly from what was submitted. This is an important distinction if, for example, the server has magic_quotes turned on and you massage the data to run stripslashes on it; if you then use import_request_variables, your variables will still have slashes in them.
In other words: even if you say $_GET=""; $_POST=""; then use import_request_variables, it'll still get all the request data.
If you change the contents of $_GET and you then want to bring this data into global variables, use extract($_GET, EXTR_PREFIX_ALL, "myprefix") instead.
rustamabd at gmail dot com ¶
12 years ago
import_request_variables() is gone from PHP since version 5.4.0. A simple plug-in replacement it extract().
For example:
import_request_variables('gp', 'v_');
Can be replaced with:
extract($_REQUEST, EXTR_PREFIX_ALL|EXTR_REFS, 'v');
jason ¶
18 years ago
reply to ceo AT l-i-e DOT com:
I don't think it's a risk, as all of your request variables will be tagged with the prefix. As long as you don't prefix any of your internal variables with the same, you should be fine.
If someone tries to access an uninitiated security-related variable like $admin_level through request data, it will get imported as $RV_admin_level.
samb06 at gmail dot com ¶
18 years ago
What i do is have a small script in my header file that takes an array called $input, and loops through the array to extract variables. that way the security hole can be closed, as you specify what variables you would like extracted
$input = array('name' => null, 'age' => 26) ;
// 26 is the default age, if $_GET['age'] is empty or not set
function extract_get()
{
global $input ;
if ($input)
{
foreach ($input as $k => $v)
{
if ($_GET[$k] == '' or $_GET[$k] == NULL)
{
$GLOBALS[$k] = $v ;
}
else
{
$GLOBALS = $_GET[$k] ;
}
}
}
}
cornflake4 at gmx dot at ¶
19 years ago
oops, a typo in my comment:
The last line in the second example (the on using the extract() function) should read:
echo $_GET['var']; # prints 1, so $_GET has been unchanged
