Ссылки PHP. Хитрости

[RXL]

Думайте о global $var; как о сокращении от $var =& $GLOBALS['var'];. Таким образом, присвоение $var другой ссылки влияет лишь на локальную переменную.

Вот так! Век живи - век учись...
Мне такого не нужно было, не сталкивался, но сам факт интересен.

[RomCom]

Не помню где читал что с точки зрения безопасности использование $_POST['var'] предпочтительней чем просто  $var. Вроде как значение переменной $var легче подменить чем $_POST['var']
RXL, ты как относишся к такому утвержению?

[RomCom]

$var =& _POST['var'] - также равно?

[RXL]

Ты имеешь в виду использование параметров POST в ф-иях? Или что? Уточни, а то не шибко ясно...

[RomCom]

Я имею в виду что вообще использование синтаксиса _POST['var'] (точно так же как и _GET) т.е. "суперглобальных массивов" безопасней чем "доступных зарезервированных предопределенных переменных PHP"(с). Если мне не изменяет память в статье говорилось: для безопасности переменные POST и GET лучше брать из массивов, а не из переменных инициализируемых при включеной опции register_globals

[RXL]

RomCom, без сомнений! register_globals - пережиток прошлого, с которым надо нещадно бороться

Кроме того, в ранних версиях PHP4 были массивы HTTP_*_VARS, которые не являются суперглобальными, а просто глобальными.
Еще я заметил катую фичу, что невозможно сделать unset($_GET). Если надо избавиться от содержимого, стоит сделать $_GET = array(). Но  unset($_REQUIEST) делается легко.

[RXL]

Странно. Сейчас перепроверил - unset($_GET) работает прекрасно. Да же unset($GLOBALS) работает.

[Dracul]

Не помню где читал что с точки зрения безопасности использование $_POST['var'] предпочтительней чем просто  $var. Вроде как значение переменной $var легче подменить чем $_POST['var']

я тоже такое читал и там объяснялося, что $_POST['var'] береться именно из POST, а вот если включенна какая то опция в настройках php (вроде бы регистр глобал), то переменная $var может быть взята не из POST а из GET (там тоже зависит от нстроек, откуда переменные беруться в первую очередь)...
Ну это правдо если я все правильно помню... вот...

[RXL]

Источники данных и порядок и просмотра при регистрации глобальных переменных (при register_global=on) определяется там же - php.ini.
Мои советы:
1) забудьте навсегда о существовании register_globals
2) всегда инициализируйте переменные (особенно, если они создаются по условию)
3) поменьше глобальных переменных - меньше будет потенциальных дыр
4) не используйте бездумно addslashes() и т.п. - не все надо чистить, и не так примитивно
5) ... и еще много-много советов, которые сразу и не вспомнишь...

[RomCom]

Реплика в сторону
RXL твой пост совпал по времени с моим разбором vu-engine2.2 У меня случились проблемы с установкой и тестированием т.к. отключены register_globals, от греха подальше, а там эти переменные используются вовсю
Это получилось по недосмотру или от желания упрастить систему?

[RXL]

RomCom, vu писал Гром, а у него не было опята программирования в php. Можно сказать, что он на этом учился.
Почитай тему про развитие vu с самогоначала.