PHP,通过POST传递数组

时间:2012-12-28 15:13:07

标签: php arrays http post

通过POST发送数组最安全的方法是什么?

foreach ($id as $array)
{
<input type="hidden" name="prova[]" value="<?php echo $array; ?>"/>
}
<input type="submit" name="submit"/>

或使用implode()创建单个变量,传递变量然后使用explode()将值恢复为新数组?

5 个答案:

答案 0 :(得分:23)

编辑 如果您询问安全性,请参阅底部的 编辑

下面的我的附录

PHP具有为此特定目的提供的serialize功能。传递一个数组,它会给你一个字符串表示。如果要将其转换回数组,只需使用unserialize函数。

$data = array('one'=>1, 'two'=>2, 'three'=>33);
$dataString = serialize($data);
//send elsewhere
$data = unserialize($dataString);

懒惰编码器经常使用它来将数据保存到数据库。不推荐,但作为快速/肮脏的解决方案。

<强> 附录

我的印象是你正在寻找一种可靠而不是“安全”发送数据的方法。无论您如何传递数据,如果它通过用户系统,您根本不能信任它。通常,您应该将其存储在服务器上的某个位置。使用凭证(cookie,会话,密码等)进行查找。

答案 1 :(得分:13)

你可以把它放在会话中:

session_start();
$_SESSION['array_name'] = $array_name;

或者,如果您想通过表单发送,可以将其序列化:

<input type='hidden' name='input_name' value="<?php echo htmlentities(serialize($array_name)); ?>" />

$passed_array = unserialize($_POST['input_name']);

请注意,要使用序列化数组,您需要使用POST作为表单的传输方法,因为GET的大小限制大约为1024个字符。

我尽可能使用会话。

答案 2 :(得分:12)

http://php.net/manual/en/reserved.variables.post.php

第一条评论回答了这个问题。

<form ....>
<input name="person[0][first_name]" value="john" />
<input name="person[0][last_name]" value="smith" />
...
<input name="person[1][first_name]" value="jane" />
<input name="person[1][last_name]" value="jones" />
</form>

<?php
var_dump($_POST['person']);

array (
0 => array('first_name'=>'john','last_name'=>'smith'),
1 => array('first_name'=>'jane','last_name'=>'jones'),
)
?>

名称标签可以作为数组使用。

答案 3 :(得分:6)

如果您已经在服务器(PHP)端拥有它,为什么要通过帖子发送它?

为什么不将数组保存到s $_SESSION变量,以便在表单提交时使用它,这可能使其更“安全”,因为客户端无法通过编辑源来更改变量。

这完全取决于你想要做什么。

答案 4 :(得分:6)

有两件事需要考虑:用户可以修改表单,并且您需要针对跨站点脚本(XSS)进行保护。

<强> XSS

XSS是指用户在输入中输入HTML。例如,如果用户提交了此值,该怎么办?:

" /><script type="text/javascript" src="http://example.com/malice.js"></script><input value="

这将写入您的表单,如下:

<input type="hidden" name="prova[]" value="" /><script type="text/javascript" src="http://example.com/malice.js"></script><input value=""/>

防止这种情况发生的最佳方法是使用htmlspecialchars()来保护您的输入。这会将<等字符编码为&lt;。例如:

<input type="hidden" name="prova[]" value="<?php echo htmlspecialchars($array); ?>"/>

您可以在此处详细了解XSS:https://www.owasp.org/index.php/XSS

表单修改

如果我在您的网站上,我可以使用Chrome的开发者工具或Firebug来修改您网页的HTML。根据您的表单的不同,可以恶意使用。

例如,我可以为您的数组添加额外的值,或者不属于数组的值。如果这是文件系统管理员,那么我可以添加不存在的文件或包含敏感信息的文件(例如:用myfile.jpg../index.php替换../db-connect.php。 / p>

简而言之,您总是需要稍后检查您的输入,以确保它们有意义,并且只在表单中使用安全输入。文件ID(数字)是安全的,因为您可以检查数字是否存在,然后从数据库中提取文件名(这假定您的数据库包含经过验证的输入)。由于上述原因,文件名称是不安全的。您必须重新验证文件名,否则我可以将其更改为任何内容。

相关问题
最新问题