$_GET, $_POST direkt auslesen oder als Parameter

Igäl · 17.08.2007, 11:33

Hallo Leute

Muss euch schon wieder mit einer Frage ärgern. Und die lautet wie folgt

:

Ist es a) performance-technisch besser, b) programmier-stylistisch schöner die übergebenen Parameter in den superglobalen Arrays in den Nebenklassen direkt auszulesen oder in der Hauptklasse für die Nebenklassen als Parameter mitzugeben?

PHP-Code:

  class Hauptklasse {

    public function somewhat() {

        $nebenk = new Nebenklasse;

        $n_data = $nebenk->get_data();

    }

}

 
class Nebenklasse {

    public function get_data() {

        $param = $_GET['param'];

        $new_param = "Data: ".$param;

 
        return $new_param;

    }

}

ODER

PHP-Code:

  class Hauptklasse {

    public function somewhat() {

        $get = $_GET;

        $nebenk = new Nebenklasse;

        $n_data = $nebenk->get_data($get['param']);

    }

}

 
class Nebenklasse {

    public function get_data($param) {

        $new_param = "Data: ".$param;

 
        return $new_param;

    }

}

Welche Vor-/Nachteile haben die verschiedenen Varianten?

Gruss Igäl

Zergling-new · 17.08.2007, 13:38

Beides ist nicht optimal. Ich würde an deiner Stelle ganz darauf verzichten, $_GET, $_POST etc. als Super-Globalen zu behandeln. Behandel sie lieber als einen ganz normalen Array, den du einer Klasse oder Methode per Parameter übergibst. Denn vielliecht möchtest du, bevor du verstreut irgendwelche Klassen und Methoden mit $_GET arbeiten läßt, ja noch eine Routine über die Werte laufen lassen? Oder schlimmer, vielleicht möchtest du für Klasse A Variante X von $_GET zur Verfügung stellen und für Klasse B Variante Y. Zwecks Transparenz brauchen beide Klassen davon aber nichts wissen.

Beispiel ist eine Funktion zum Darstellen einer Seitennavigation (Seite 1, 2 .. 10). Diese könnte direkt mit $_GET arbeiten, und dort einfach das Argument "seite" jeweils anpassen. Nun könnte es aber auch sein, dass auf dieser Seite mehr möglich ist, als nur zwischen Seiten umherzuschalten. Zum Beispiel Eintrag 5 zu löschen. $_GET['delete'] löst also DELETE FROM table LIMIT 4,1 aus. Nun, davon weiß dein Seitennavigations-Skript aber nichts, und bruzelt den $_GET-Parameter "delelete" einfach beim Erstellen der Seiten-Links überall mit hinein. Das ist schlecht, denn damit löscht du pro Seitenaufruf ein Element. Das ist natürlich nur ein Beispiel, aber solche Seiteneffekte kannst du ganz einfach verhindern, in dem du von _außen_ festlegst, mit welchen Daten eine Funktion hantieren darf.

PHP-Code:

  <?php

// schlecht

function seitennav1() {

  $get = $_GET;

  // ..

}

 
// schön

/** 

 * @param array $get arg list for href (f.e. $_GET)

 */

function seitennav2($get) {

  // ..

}

seitennav($_GET); // völlig ok, gleiche wirkung wie oben, aber flexibel

seitennav(prepareForSeitennav($_GET)); // möglich

?>

Es ist immer gut, wenn man von außen sieht, welche Daten die Funktion benötigt.

Igäl · 17.08.2007, 14:04

Wenn ich dich richtig verstanden habe, siehst du folgenden Nachteil:

Problem: Die Daten aus dem $_GET-Array werden unbehandelt übertragen und können am Ort wo sie eingesetzt werden Schaden verursachen.

Lösung: Das $_GET-Array in ein eigenes Array laden und die Werte überprüfen/modifizieren/etc. und erst dann den verschiedenen Klassen übergeben.

Ich habe eine Klasse namens Controll, welche für jeden Seitenaufruf die Parameter überprüft.
Beispiel: "index.php?mid=1&smid=1&edit=214

PHP-Code:

  if($mid==1)    {

            if($smid == 1 && $acc_arr['AccNewsWrite'] == 0)    {

                $access = false;

            }

            if(isset($_GET['edit']))    {

                $author_id = Mysql::db_fetch_data(Mysql::db_select_data("NwAuthor", "news", "NwID=".$_GET['edit']));

                if($_SESSION['UserNickname'] != $author_id['NwAuthor'])    { $access = false; }

            }

            if(isset($_GET['cat']) && $_GET['cat'] == 6)    {

                if($acc_arr['AccNewsInternRead'] == 0)    { $access = false; }

            }

        }

Die Variable $access wird dann zurückgegeben und führt dazu, dass der User auf die Seite forbidden.html umgeleitet wird.
Ist das ungenügend? Was würdest du zusätzlich dazu an Sicherungen einbauen? Parameterwerte überprüfen, also zum Beispiel ob der Wert des Edit-Parameters wirklich ein Integer ist, etc.?

Edit: Hatte etwas lange an meinem Post, darum habe ich deinen Zusatz noch nicht gesehen. Der Entscheidende Vorteil ist also, dass man die Parameter sieht, die in einer Funktion wirken. Das leuchtet mir ein. Ich werde mal sehen, wie ich das am besten angehe.

Zergling-new · 17.08.2007, 14:20

Genau, es geht eigentlich eher weniger um Sicherheitsaspekte, als darum, dass man einer Funktion oder Methode ansieht und darauf Einfluß nehmen kann, welche Parameter sie benötigt um arbeiten zu können.

Ich würde dir übrigens raten, statt isset($array['key']) ein array_key_exists('key', $array) zu verwenden. Denn wenn $array nicht existiert, weil du dich zum Beispiel vertippt hast, wird kein Fehler geworfen und die Funktion liefert immer FALSE. Nicht ganz einfach zu finden solche Fehler.

Deine Eingabeprüfung ist übrigens auch unsicher. Ungeprüft schiebst du einen $_GET Parameter in die MySQL-Klasse. Da du hier scheinbar schon die WHERE-Bedingung übergibst, glaube ich kaum, dass deine Klasse dies nocheinmal zerlegt und validiert. Es ist grundsätzlich inakzeptabel, wenn eine User-Eingabe einen Parse-Error erzeugen kann, sei es über PHP oder MySQL. Und wenn ich statt "edit" nun ein "0 OR 1" übergebe wird auch gleich alles selektiert. Da hilft dir dann nichtmal mysql_real_escape_string(). Wenn du Zahlen erwartest, wandel sie knallhart mit intval() in eine Zahl um, alles andere gehört an mysql_real_escape_string() übergeben und gegebenenfalls in ' eingeschlossen.

Und wenn wir schon dabei sind:

PHP-Code:

  <?php

// umständlich

if($acc_arr['AccNewsInternRead'] == 0)    { $access = false; } 

// kurz

$access = ($acc_arr['AccNewsInternRead'] != 0);

?>

Igäl · 17.08.2007, 14:30

Genau von solchen Sicherheitsdingen hab ich noch zu wenig Ahnung. Versuch ich mir grad ein bisschen anzueignen.

Ja ich bin dabei die ganze Seite zu überarbeiten. Darum auch die ganzen konzeptionellen Fragen. Und auch diese Controll-Klasse hat eine Bearbeitung dringend nötig. Muss sie mal wieder auf meinen aktuellen Wissensstand bringen.

Herzlichen Dank für das umfangreiche Feedback. Hab jetzt erstmals wieder Optimierungs-Arbeit. Werde deine Tips beherzigen. Dankeschön

Edit: Den schrecklichen zweiten Satz aus Zerglings nachfolgendem Quote korrigiert -.-

Zergling-new · 17.08.2007, 14:36

Zitat:

Zitat von Igäl

Ja ich bin dabei die ganze Seite zu überarbeiten. [..] Muss mal wieder auf meinen aktuellen Wissensstand zu bringen.

Find ich gut, da helf ich gern, kein Problem also

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Variablen in Datenbank speichern und auslesen	freehawk	PHP-Fortgeschrittene	4	16.03.2008 17:22
Parameter überschreiben	Igäl	PHP Tipps 2006	8	04.06.2006 19:55
Komplette URL inkl. Parameter etc. auslesen	NetLook	PHP Tipps 2006	2	03.02.2006 16:22
Direkt aus 2 Ordner auslesen		PHP Tipps 2005-2	2	28.10.2005 10:22
Umleitung wenn Parameter direkt angesteuert wird		PHP Tipps 2004	13	25.08.2004 16:20
Alle $_GET[] parameter auslesen		PHP Tipps 2004	3	09.08.2004 14:14

17.08.2007, 11:33
Igäl Erfahrener Benutzer Registriert seit: 16.08.2007 Beiträge: 702 PHP-Kenntnisse: Anfänger	$_GET, $_POST direkt auslesen oder als Parameter Hallo Leute Muss euch schon wieder mit einer Frage ärgern. Und die lautet wie folgt : Ist es a) performance-technisch besser, b) programmier-stylistisch schöner die übergebenen Parameter in den superglobalen Arrays in den Nebenklassen direkt auszulesen oder in der Hauptklasse für die Nebenklassen als Parameter mitzugeben? PHP-Code: `class Hauptklasse { public function somewhat() { $nebenk = new Nebenklasse; $n_data = $nebenk->get_data(); } } class Nebenklasse { public function get_data() { $param = $_GET['param']; $new_param = "Data: ".$param; return $new_param; } }` ODER PHP-Code: `class Hauptklasse { public function somewhat() { $get = $_GET; $nebenk = new Nebenklasse; $n_data = $nebenk->get_data($get['param']); } } class Nebenklasse { public function get_data($param) { $new_param = "Data: ".$param; return $new_param; } }` Welche Vor-/Nachteile haben die verschiedenen Varianten? Gruss Igäl


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.08.2007, 13:38
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Beides ist nicht optimal. Ich würde an deiner Stelle ganz darauf verzichten, $_GET, $_POST etc. als Super-Globalen zu behandeln. Behandel sie lieber als einen ganz normalen Array, den du einer Klasse oder Methode per Parameter übergibst. Denn vielliecht möchtest du, bevor du verstreut irgendwelche Klassen und Methoden mit $_GET arbeiten läßt, ja noch eine Routine über die Werte laufen lassen? Oder schlimmer, vielleicht möchtest du für Klasse A Variante X von $_GET zur Verfügung stellen und für Klasse B Variante Y. Zwecks Transparenz brauchen beide Klassen davon aber nichts wissen. Beispiel ist eine Funktion zum Darstellen einer Seitennavigation (Seite 1, 2 .. 10). Diese könnte direkt mit $_GET arbeiten, und dort einfach das Argument "seite" jeweils anpassen. Nun könnte es aber auch sein, dass auf dieser Seite mehr möglich ist, als nur zwischen Seiten umherzuschalten. Zum Beispiel Eintrag 5 zu löschen. $_GET['delete'] löst also DELETE FROM table LIMIT 4,1 aus. Nun, davon weiß dein Seitennavigations-Skript aber nichts, und bruzelt den $_GET-Parameter "delelete" einfach beim Erstellen der Seiten-Links überall mit hinein. Das ist schlecht, denn damit löscht du pro Seitenaufruf ein Element. Das ist natürlich nur ein Beispiel, aber solche Seiteneffekte kannst du ganz einfach verhindern, in dem du von _außen_ festlegst, mit welchen Daten eine Funktion hantieren darf. PHP-Code: `<?php // schlecht function seitennav1() { $get = $_GET; // .. } // schön /** * @param array $get arg list for href (f.e. $_GET) */ function seitennav2($get) { // .. } seitennav($_GET); // völlig ok, gleiche wirkung wie oben, aber flexibel seitennav(prepareForSeitennav($_GET)); // möglich ?>` Es ist immer gut, wenn man von außen sieht, welche Daten die Funktion benötigt.

17.08.2007, 14:04
Igäl Erfahrener Benutzer Registriert seit: 16.08.2007 Beiträge: 702 PHP-Kenntnisse: Anfänger	Wenn ich dich richtig verstanden habe, siehst du folgenden Nachteil: Problem: Die Daten aus dem $_GET-Array werden unbehandelt übertragen und können am Ort wo sie eingesetzt werden Schaden verursachen. Lösung: Das $_GET-Array in ein eigenes Array laden und die Werte überprüfen/modifizieren/etc. und erst dann den verschiedenen Klassen übergeben. Ich habe eine Klasse namens Controll, welche für jeden Seitenaufruf die Parameter überprüft. Beispiel: "index.php?mid=1&smid=1&edit=214 PHP-Code: if($mid==1) { if($smid == 1 && $acc_arr['AccNewsWrite'] == 0) { $access = false; } if(isset($_GET['edit'])) { $author_id = Mysql::db_fetch_data(Mysql::db_select_data("NwAuthor", "news", "NwID=".$_GET['edit'])); if($_SESSION['UserNickname'] != $author_id['NwAuthor']) { $access = false; } } if(isset($_GET['cat']) && $_GET['cat'] == 6) { if($acc_arr['AccNewsInternRead'] == 0) { $access = false; } } } Die Variable $access wird dann zurückgegeben und führt dazu, dass der User auf die Seite forbidden.html umgeleitet wird. Ist das ungenügend? Was würdest du zusätzlich dazu an Sicherungen einbauen? Parameterwerte überprüfen, also zum Beispiel ob der Wert des Edit-Parameters wirklich ein Integer ist, etc.? Edit: Hatte etwas lange an meinem Post, darum habe ich deinen Zusatz noch nicht gesehen. Der Entscheidende Vorteil ist also, dass man die Parameter sieht, die in einer Funktion wirken. Das leuchtet mir ein. Ich werde mal sehen, wie ich das am besten angehe.

17.08.2007, 14:20
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Genau, es geht eigentlich eher weniger um Sicherheitsaspekte, als darum, dass man einer Funktion oder Methode ansieht und darauf Einfluß nehmen kann, welche Parameter sie benötigt um arbeiten zu können. Ich würde dir übrigens raten, statt isset($array['key']) ein array_key_exists('key', $array) zu verwenden. Denn wenn $array nicht existiert, weil du dich zum Beispiel vertippt hast, wird kein Fehler geworfen und die Funktion liefert immer FALSE. Nicht ganz einfach zu finden solche Fehler. Deine Eingabeprüfung ist übrigens auch unsicher. Ungeprüft schiebst du einen $_GET Parameter in die MySQL-Klasse. Da du hier scheinbar schon die WHERE-Bedingung übergibst, glaube ich kaum, dass deine Klasse dies nocheinmal zerlegt und validiert. Es ist grundsätzlich inakzeptabel, wenn eine User-Eingabe einen Parse-Error erzeugen kann, sei es über PHP oder MySQL. Und wenn ich statt "edit" nun ein "0 OR 1" übergebe wird auch gleich alles selektiert. Da hilft dir dann nichtmal mysql_real_escape_string(). Wenn du Zahlen erwartest, wandel sie knallhart mit intval() in eine Zahl um, alles andere gehört an mysql_real_escape_string() übergeben und gegebenenfalls in ' eingeschlossen. Und wenn wir schon dabei sind: PHP-Code: `<?php // umständlich if($acc_arr['AccNewsInternRead'] == 0) { $access = false; } // kurz $access = ($acc_arr['AccNewsInternRead'] != 0); ?>`

17.08.2007, 14:30
Igäl Erfahrener Benutzer Registriert seit: 16.08.2007 Beiträge: 702 PHP-Kenntnisse: Anfänger	Genau von solchen Sicherheitsdingen hab ich noch zu wenig Ahnung. Versuch ich mir grad ein bisschen anzueignen. Ja ich bin dabei die ganze Seite zu überarbeiten. Darum auch die ganzen konzeptionellen Fragen. Und auch diese Controll-Klasse hat eine Bearbeitung dringend nötig. Muss sie mal wieder auf meinen aktuellen Wissensstand bringen. Herzlichen Dank für das umfangreiche Feedback. Hab jetzt erstmals wieder Optimierungs-Arbeit. Werde deine Tips beherzigen. Dankeschön Edit: Den schrecklichen zweiten Satz aus Zerglings nachfolgendem Quote korrigiert -.-