je jusqu'à présent pu accéder à _REQUEST $ dans mon PHP comme suit:
//JS
xmlhttp.open("GET", "logic.php?q=" + itemOne + "&w=" + itemTwo, true);
//PHP
$q = $_REQUEST['q'];
$w = $_REQUEST['w'];
Les articles envoyés par obtenir utilisé pour les requêtes serveur MSSQL (de sqlsrv).
Ma question est de savoir quelles seraient les meilleures pratiques pour faire ce qui précède différemment/correctement? Je lis quelque part que ce n'est pas bon en termes d'être vulnérables aux attaques par injection SQL, etc.
C'est totalement acceptable d'utiliser $ _REQUEST. vous devez prendre soin des requêtes. utilisez simplement ajax get/post request pour cela. – Bhavin
Il n'est pas possible d'indiquer à partir de ce code s'il est vulnérable ou non à l'injection sql. Mais jetez un oeil à [Comment puis-je empêcher l'injection SQL en PHP?] (Http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php) – FirstOne
Une note de côté est d'utiliser le 'correct' global en fonction de la demande. Si vous utilisez un 'post', accédez aux variables de' $ _POST', si 'get', puis' $ _GET'. Jetez un oeil à [Quel est le problème avec l'utilisation de $ _REQUEST [\]?] (Http://stackoverflow.com/questions/2142497/whats-wrong-with-using-request) – FirstOne