Does and Dont's

Heute hab ich alten Source Code von einem ehemaligen Arbeitskollegen gesehen und war ziemlich erschrocken:

foreach( $_POST AS $var => $val )
$$var = $val;
Die tippfaule Sau... warum hat er nicht gleich register_globals aktiviert?
Da hätte ich am liebsten direkt druntergeschrieben:

foreach( $_REQUEST AS $var => $val )
unset( $$var );
Was ich nämlich immer einsetze, um zu verhinden, dass auf Servern wo register_globals an ist, ja nichts im globalen Adressraum landet.
Würde mich freuen, wenn noch ein paar Does und Dont's gepostet werden.
Gruß,
Marc

ich frag mich da eher warum er kein

extract($_POST);

gemacht hat, das wäre doch viel kürzer und ist extra dafür

Ein schöneres weiteres Dont:
index.php

require ( 'pages/' . $_REQUEST [ 'page' ] . '.php' );
für index.php?page=alliance
Bei Clan-Webseiten sehr oft gesehen...

query('select something from table where id='.$_GET['id']);
wobei $_GET['id'] dann halt auch mal mehr sein kann als nur eine id.

Oh noch so ein tolles Ding. Im SQL Statement:
SELECT * FROM a, b, c WHERE a.id=b.id AND (a.konto_id0 OR a.konto_id=0) AND ... usw...
Ich denke das Bedarf keines weiteren Kommentars...
Und zum "extract". Ich weiß jetzt nicht, ob das für oder gegen mich spricht, aber mir war der Befehl bis dato noch nicht bekannt....
Gruß,
Marc

Original von blum
query('select something from table where id='.$_GET['id']);
wobei $_GET['id'] dann halt auch mal mehr sein kann als nur eine id.

Da hab ich auch noch was schönes bezüglich XSS Angriff:

$search = $_REQUEST[ "searchstring" ];
print "Sie haben nach folgendem Suchbegriff gesucht: $search
";
/*
* Hier dann das oben zitierte Beispiel einfügen
*/
Gruß,
Marc

Das, IMHO, größte Don't:

// ...

?>
Im Ernst:

// irgendwas ...

system("rm -rf ./ordner/".$_GET['id']."/unterordner/*");
// weiter im Text
?>
Habe ich so in der freien Wildbahn gesehen ...