使用PHP的$ _request SuperGlobal引入了安全風(fēng)險(xiǎn)，因?yàn)樗Y(jié)合了$ _get，$ _post和$ _cookie的輸入，從而導(dǎo)致了無法預(yù)測(cè)的行為； 2。它允許意想不到的輸入來源覆蓋預(yù)期的源，例如觸發(fā)刪除操作的惡意餅干，旨在來自郵政請(qǐng)求； 3。它通過參數(shù)污染增加了攻擊表面，攻擊者利用優(yōu)先順序繞過旁路驗(yàn)證； 4。它掩蓋了數(shù)據(jù)流，使調(diào)試和安全審核更加困難； 5。最佳實(shí)踐包括使用特定的超級(jí)全局群體，例如$ _ post或$ _get，嚴(yán)格驗(yàn)證輸入，避免使用敏感動(dòng)作的混合輸入方法和登錄輸入源，因此，開發(fā)人員應(yīng)避免$ _request，以防止利用可利用的假設(shè)并確保安全的假設(shè)，可預(yù)測(cè)的，可預(yù)測(cè)的輸入處理。

使用PHP的$_REQUEST超級(jí)全局似乎很方便，但它引入了開發(fā)人員應(yīng)該意識(shí)到的微妙而又重大的安全風(fēng)險(xiǎn)。與更具體的超級(jí)全局不同，例如$_GET ， $_POST或$_COOKIE ， $_REQUEST聚集了來自多個(gè)來源的RequeSt聚合輸入 - 默認(rèn)情況下（通常會(huì)獲取，發(fā)布和cookie數(shù)據(jù)）更難跟蹤用戶輸入來跟蹤用戶輸入的位置。如果不仔細(xì)處理，這種歧義可能會(huì)導(dǎo)致脆弱性。

1。意外的輸入來源和優(yōu)先順序

默認(rèn)情況下， $_REQUEST以該順序結(jié)合了$_GET ， $_POST和$_COOKIE的數(shù)據(jù)（取決于php.ini中的variables_order指令）。這意味著：

• 通過Get發(fā)送的參數(shù)可以默默覆蓋通過POST發(fā)送的相同參數(shù)。
• 攻擊者可能會(huì)操縱cookie以注入值，就像它們是形式數(shù)據(jù)一樣。

例如：

 //脆弱的代碼
if（$ _request ['action'] ==='delete_user'）{
    delete_user（$ _請(qǐng)求['user_id']）;
}

攻擊者可以制作惡意餅干：

 cookie：action = delete_user; USER_ID = 123

即使您的表格使用帖子， $_REQUEST也會(huì)拿起cookie值，有可能觸發(fā)意外的動(dòng)作而無需用戶。

這種行為使$_REQUEST在對(duì)安全敏感的上下文中不可預(yù)測(cè)且危險(xiǎn)。

2。攻擊表面和參數(shù)污染增加

因?yàn)?code>$_REQUEST從多個(gè)輸入向量中拉出，所以它可以擴(kuò)展表面攻擊者可以利用。在無法正確驗(yàn)證或消毒輸入的應(yīng)用中，這尤其有問題。

考慮這種情況：

• 您的表格期望發(fā)布參數(shù)： email 。
• 但是攻擊者將?email=attacker@example.com附加到URL。
• 如果您使用$_REQUEST['email'] ，則get值優(yōu)先（取決于配置），繞過預(yù)期的僅提交后提交。

這種參數(shù)污染可能會(huì)破壞驗(yàn)證邏輯，CSRF保護(hù)和審計(jì)跟蹤。

3。模糊的數(shù)據(jù)流和調(diào)試挑戰(zhàn)

使用$_REQUEST使得很難推理數(shù)據(jù)的來源。在代碼審查或調(diào)試期間，尚不清楚是通過表格，URL或通過cookie注入的值是通過cookie提交的。這種晦澀難懂：

• 阻礙安全審核
• 使輸入驗(yàn)證策略復(fù)雜化
• 使錯(cuò)過邊緣案件變得更容易

明確使用$_POST ， $_GET或$_COOKIE使開發(fā)人員的意圖明確，并強(qiáng)制對(duì)每個(gè)輸入源進(jìn)行故意處理。

減輕風(fēng)險(xiǎn)的最佳實(shí)踐

為了避免$_REQUEST的陷阱，請(qǐng)遵循以下準(zhǔn)則：

• ?使用特定的超級(jí)全局：僅在必要時(shí)使用$_POST進(jìn)行表單數(shù)據(jù)，查詢參數(shù)的$_GET和$_COOKIE 。
• ?嚴(yán)格驗(yàn)證和消毒輸入，無論來源如何。
• ?避免混合敏感操作的輸入方法（例如，不允許刪除并發(fā)布刪除）。
• ?如果必須使用$_REQUEST ，請(qǐng)?jiān)趐hp.ini中設(shè)置variables_order ，但更好的是，不要依靠它。
• ?為關(guān)鍵操作檢測(cè)異常的日志和審核輸入源。

底線

$_REQUEST并不是固有的邪惡，但它的便利性是以清晰和安全為代價(jià)的。在大多數(shù)現(xiàn)實(shí)世界中，意外輸入覆蓋和模糊數(shù)據(jù)流的風(fēng)險(xiǎn)超過了任何好處。將其視為遺留功能，然后選擇明確的，特定于源的超級(jí)全球。

基本上，如果您使用的是$_REQUEST ，則您對(duì)可以利用的輸入進(jìn)行假設(shè)。不。

以上是使用PHP的$ _request超級(jí)全局的固有安全風(fēng)險(xiǎn)的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！