Sven Rautenberg: Variable wird gesetzt aber nicht in MySQL geschrieben

Beitrag lesen

Moin!

foreach ($_POST as $key => $val) {
$$key = $val;
}

foreach ($_GET as $key => $val) {
$$key = $val;
}

  
Großartig! Dann kann man dir in dein Skript ja problemlos jegliche Variable einschmuggeln. Wenn das in Kombination mit uninitialisierten Variablen passiert, ist das eine weitere, gravierend klaffende Sicherheitslücke.  
  
Sprich: Diese Vorgehensweise ist absolut nicht sinnvoll! Das Umkopieren ist sinnlose Speicherverschwendung und verschleiert die Herkunft des Variableninhalts.  
  
 - Sven Rautenberg