1)
if (isset($_GET))
{
foreach($_GET as $name => $value) $$name = $value;
};
А если $name в итоге сам окажется массивом.
А если в $name будет черт знает какая строка.
2)
if (isset($_GET))
{
// Prevent any possible XSS attacks via $_GET.
foreach ($_GET as $check_url) {
if (!is_array($check_url)) {
$check_url = str_replace("\"", "", $check_url);
if ((preg_match("/<[^>]*script*\"?[^>]*>/i", $check_url)) || (preg_match("/<[^>]*object*\"?[^>]*>/i", $check_url)) ||
(preg_match("/<[^>]*iframe*\"?[^>]*>/i", $check_url)) || (preg_match("/<[^>]*applet*\"?[^>]*>/i", $check_url)) ||
(preg_match("/<[^>]*meta*\"?[^>]*>/i", $check_url)) || (preg_match("/<[^>]*style*\"?[^>]*>/i", $check_url)) ||
(preg_match("/<[^>]*form*\"?[^>]*>/i", $check_url)) || (preg_match("/\([^>]*\"?[^)]*\)/i", $check_url)) ||
(preg_match("/\"/i", $check_url))) {
die ();
}
}
}
unset($check_url);
foreach($_GET as $name => $value) $$name = $value;
};
Ептвдёпрст :blink:
Для тех,кто думает,что этот код пишу я-нет. Код взят с phpMyChat.