Por que o NetBeans avisa que deve não acessar variáveis globais diretamente? – php variáveis netbeans
Pergunta:
O NetBeans sugere que não acessemos as variáveis globais do PHP tipo $_SERVER[''] diretamente, qual a sugestão neste caso?
Normalmente é feito assim:
<?php
$ip = $_SERVER["REMOTE_ADDR"];
?>
Qual a forma aconselhada de se pegar uma variável global?
Autor da pergunta Marcelo
Resposta Maniero:
Não faço a menor ideia. Não vejo problemas em fazer isto. Se fosse acesso a um $_POST eu até entenderia que a sugestão seria para filtrar o conteúdo com um filter_input ou técnica semelhante. Mas neste caso não pode acontecer falhas de segurança.
Eu já vi sugerirem filtrar até mesmo este tipo de variável, mas me parece insano. Se você não puder confiar no que o servidor HTTP te passa, você está lascado.
Posso estar enganado mas eu chutaria que é um falso positivo, que é comum em analisadores estáticos de código.
Tem 4 caminhos:
- Conviva com isto;
- desligue o analisador estático;
- colocar um comentário de dica para ele parar de avisar isto (tem que procurar na documentação);
-
contrariadamente faça o filtro e satisfaça o analisador.
filter_input(INPUT_SERVER, 'REMOTE_ADDR')
No exemplo da pergunta não existe nenhum problema, informações da requisição, sessão e do servidor no PHP(puro) vem através de variáveis globais, em outras
linguagens essas infomações vem através de objetos como request do java, frameworks PHP também fornecem objetos para manipular essas informações.
O que é não muito correto fazer é acessar/manipular uma variável global dentro de uma função, o correto é passar essa global como argumento da função, para evitar efeitos colaterais como a quebra de funcionamento, uma função não deve sofrer interferencia de nada externo deve apenas depender dela mesma.
Existe a recomendação de não utilizar a variável global $_SERVER devido o risco de cross-site scripting que é alguém conseguir executar scripts no seu servidor ou, em outras palavras, injetar código.
Conforme descrito neste artigo (em inglês).
Quando exposto ao cliente (em formulários, por exemplo) pode dar aberturas à ataques e invasões, por isso é recomendado o uso do filtro.
/* Esta é a maneira correta de se declarar uma superglobal */
$post = filter_input_array(INPUT_POST, FILTER_DEFAULT);
$get = filter_input_array(INPUT_GET, FILTER_DEFAULT);
/* Esta é a maneira correta de se atribuir uma variável a uma informação oriunda de uma superglobal */
$nomeDoname = $post["nomeDoname"];
$nomeDoget = $get["nomeDoget"];
Eu já vi o W3School recomendando o uso desta forma:
htmlspecialchars($_SERVER["PHP_SELF"]);
Você pode ver a explicação aqui, procure por esse título:
How To Avoid $_SERVER[“PHP_SELF”] Exploits?
Related Posts:
