원래 PHP가 name명을 바로 변수로 받을 수 있나요?
본문
폼에서 name="aaa" 라고 action파일에 보낸 경우,
액션 파일에서 $aaa처럼 변수 바로 사용 가능한가요?
$aaa = $_POST['aaa']; 과정 안 거치고 말이죠.
Dessi 님 답변 보니 그렇게 되어 있더라구요.
답변 2
common.php 첫행에서 echo $aaa; 해보세요 안나옵니다
common.php를 거치면서 그렇게 만들어진 것이죠
아래 코드입니다
@extract($_GET);
@extract($_POST);
extract 는 엄청위험합니다 문자열을 변수로 만들죠 POST 에 걸어놨으니 들어오는건 다 변수로..ㄷ
그누보드에서도 여러가지 필터링을 많이 해놨죠
그런데도 저거 때문에 취약점이 쏟아집니다
그누보드말고 다른데서는 안써야죠
답변을 작성하시기 전에 로그인 해주세요.