[youheardit]

Citat:

Ursprungligen postat av ITisGood.se

extract() är ju inga problem så länge man kontrollerar datan innan man sätter in den i SQL t.ex.

import_request_variables() visste jag inte om däremot, tack för tipset. Förstår dock inte riktigt vad skillnaden är mellan dem. Varför är import_request_variables() säkrare?

Jag är inte 100% säker på att jag ska köra extract på $_GET eller $_POST.
Men varnar PHP själv för det så tror jag nog man ska försöka att låta bli

Citat:

Do not use extract() on untrusted data, like user input (i.e. $_GET, $_FILES, etc.). If you do, for example if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting extract_type values such as EXTR_SKIP and be aware that you should extract in the same order that's defined in variables_order within the php.ini.