Все-таки не хватает в стандартном окружении Parser'a возможность разделения на POST/GET и вот почему:

andylars 22.07.2015 20:01 / 22.07.2015 20:02

Это элементарные превентивные меры безопасности (безотносительно токенизации)

Если не проверять метод, то можно запостить на каком-то посещаемом ресурсе, вот такую "битую картинку":

<img src="http://yoursite/?myprofile=delete" />

Где если среди них попадутся ваши залогиненные пользователи, то они самоудалятся.

В то время, как POST так не засунешь, и внедрить форму будет посложнее, да и на каждый чих браузер будет переспрашивать про повторную отсылку данных или в этом духе.

Плюс пересылка некоторых данных, какая-никакая, но в бинарном формате, а не в адресной строке.

Понятно, что все action'ы лучше сразу закрывать токенизацией, но
так как минимум можно снять первичную паразитную нагрузку.

Все-таки не хватает в стандартном окружении Parser'a возможность разделения на POST/GET и вот почему:, andylars 22.07.2015 20:01 / 22.07.2015 20:02
- Ответ, moko [M] 22.07.2015 21:07
  - Потому, что одновременно нужно и то и другое <form action="/?sort=a-z" method="POST">, как их отличить, если сравнивать $request:method ?, andylars 22.07.2015 21:27 / 22.07.2015 22:14
    - Вы опять выдумываете проблему, которой нет. Защита форм делается совершенно другими способами. Но никто не мешает вам парсить body для того, чтобы понять какие переменные пришли в теле. (-), Sumo [M] 22.07.2015 22:30
      - А вообще грех жаловаться :) - признаю., andylars 23.07.2015 01:25
        Хотя, некоторые, казалось бы, простые вещи, типа получить код символа - надо доставать из кратера с лавой. (-), andylars 23.07.2015 01:47 / 23.07.2015 01:49
      - Ну я не сказал, что это проблема. Я сказал, что хотелось бы иметь из коробки... для общего удобства (-), andylars 22.07.2015 23:30 / 22.07.2015 23:31

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум