molily: GET POST

Beitrag lesen

Hallo,

Die Schnittstelle soll sowohl mit POST als auch mit GET funktionieren. Mit $_REQUEST würde ich auch $_COOKIE zulassen wäre das ein Sicherheitsproblem?

Das lässt sich konkret nicht sagen, aber allgemein: Es ist ein potenzielles Sicherheitsproblem, wenn eine Schnittstelle freizügiger als unbedingt nötig ist, wenn verschiedene Eingabequellen zugelassen werden anstatt eine wohldefinierte, wenn in einem Programm die Herkunft von Eingabedaten verschleiert wird.

In RESTful APIs haben HTTP-Verben eine besondere Bedeutung, da käme »sowohl POST als auch GET« nicht infrage, weil ein inhaltlicher Unterschied zwischen GET und POST besteht. (Höchstens wenn man eine JSONP-API anbieten will und Clients kein Cross-Origin Resource Sharing unterstützen, kann man die anderen Verben auf GET z.B. mit einem _method-Parameter abbilden.)

Mathias