Hi Stefano,<br><br>&gt; GET and POST are just two&nbsp;&nbsp;methods to pass name/value variables from&nbsp;&nbsp; <br>&gt; the client to the http server.&nbsp;&nbsp;there are also at least two different&nbsp;&nbsp; <br>&gt; POST encodings: plain and&nbsp;&nbsp;multipart.&nbsp;&nbsp;they encode data in differently&nbsp;&nbsp; <br>
&gt; way but the result is the same:&nbsp;&nbsp;they pass name/value pairs to the&nbsp;&nbsp; <br>&gt; server and you need to change&nbsp;&nbsp;your code to swap from a method to the&nbsp;&nbsp; <br>&gt;&nbsp;&nbsp;other.&nbsp;&nbsp;<br><br>~ Ok.&nbsp;&nbsp;<a href="http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.5"></a>(see also <a href="http://www.cs.tut.fi/%7Ejkorpela/forms/methods.html">http://www.cs.tut.fi/~jkorpela/forms/methods.html</a>) <br>
<br>&nbsp; <br>&gt; I can&#39;t see any reason or&nbsp;&nbsp;advantage about knowing where those&nbsp;&nbsp; <br>&gt; variables are coming from, your&nbsp;&nbsp;application will work properly in any&nbsp;&nbsp;&nbsp;&nbsp; <br>&gt; way because KLone exports all&nbsp;&nbsp;variables in the same consistant way.&nbsp;&nbsp;<br>
<br>~ It&#39;s a part of the problem, it&#39;s a&nbsp;&nbsp;constraint. <br><br>(See <span style="font-weight: bold;">track_vars</span> in PHP from version&nbsp;&nbsp;4.0.3) <br><br>&nbsp;&nbsp;<br><br>&gt; I don&#39;t think either that this&nbsp;&nbsp;is a security issue because form&nbsp;&nbsp; <br>
&gt; variables are ALWAYS unsafe,&nbsp;&nbsp;the attacker can modify GET variables and&nbsp;&nbsp; <br>&gt; POST variables as he likes, the&nbsp;&nbsp;server has no control on that. to stay&nbsp;&nbsp; <br>&gt; safe the server must always&nbsp;&nbsp;validate user inputs before using it. <br>
&gt; Am I missing&nbsp;&nbsp;something? <br><br><br>I take my previous example&nbsp;&nbsp;: <br><br> ========================================= <br><br>&nbsp;&nbsp;&nbsp;&nbsp;&lt;form method=&quot;POST&quot;&nbsp;&nbsp;action=&quot;index.kl1?vara=getvara&amp;varb=getvarb&amp;send=Send&quot;&gt; <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input type=&quot;hidden&quot;&nbsp;&nbsp;name=&quot;vara&quot; value=&quot;postvara&quot; /&gt; <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input type=&quot;hidden&quot;&nbsp;&nbsp;name=&quot;varb&quot; value=&quot;postvarb&quot; /&gt; <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input type=&quot;submit&quot;&nbsp;&nbsp;name=&quot;send&quot; value=&quot;Send&quot; /&gt; <br>
&nbsp;&nbsp;&nbsp;&nbsp; &lt;/form&gt; <br><br> =========================================<br><br> <br> <br><br>When my page is executed, the&nbsp;&nbsp;values &quot;vara&quot; and &quot;varb&quot; are not correct : <br><br>&nbsp;&nbsp;========================================= <br>
<br>&nbsp;&nbsp;&nbsp;&nbsp; vara=getvara <br>&nbsp;&nbsp;&nbsp;&nbsp; varb=getvarb <br>&nbsp;&nbsp;&nbsp;&nbsp; send=Send <br><br>&nbsp;&nbsp;=========================================<br><br><br>My form (=&gt; HTTP method) is POST,&nbsp;&nbsp;but the POST values have been overwritten by the GET&nbsp;&nbsp;values.<br>
&quot;request_get_method()&quot; function return &quot;3&quot; (==POST) and &quot;request_get_var()&quot; function return GET values. There is a contradiction.<br> <br>&nbsp;&nbsp;<br><br>Problem when&nbsp;&nbsp;: <br><br>1) The action form (URI) OR (hidden)&nbsp;&nbsp;post values are changed in JavaScript&nbsp;&nbsp;(client-side). <br>
&nbsp;&nbsp;<br><br>2) When action form are dynamically&nbsp;&nbsp;set from externals sites (URI point to my site). <br><br><br>3) This way is fully compatible with&nbsp;&nbsp;proxy-cache ?<br>&nbsp;&nbsp;&nbsp; <a href="http://www.cs.tut.fi/%7Ejkorpela/forms/methods.html"></a><br>
<br>-- <br>Mickaël AUGER<br><a href="mailto:mickael.auger@gmail.com">mickael.auger@gmail.com</a>