Le mot-clé, c'est « fausse impression de sécurité ». Si on a besoin de
restreindre la lecture des données externes à $_POST pour augmenter la
sécurité, fût-ce d'un millionième de chouia, c'est que le contrôle sur
les valeurs n'est pas suffisant.
Ça c'est un autre problème, qui n'arrivera que si l'ordre est modifié et
que le programmeur donne un nom identique à, par exemple, un cookie et
une entrée de formulaire. Cela dit, tu as raison, si le cas arrive cela
peut engendrer des bugs (plutôt que des problèmes de sécurité, car là
encore ce n'est pas parce qu'une variable peut être envoyée via un
cookie qu'elle est plus dangereuse que transmise via un post).

C'est (presque) pire alors. Croire qu'un tel pas augmente la sécurité
prouve qu'on ne fait pas(!) des pas dans la bonne direction, et il est donc
probable que les suivants soient du même (mauvais) tonneau. En
investissant de l'énergie aux mauvais endroits, a priori, on ne le fait
pas aux bons.

C'est ne pas comprendre le coeur du problème (certes pas trivial), à
savoir le changement de contexte, et que ce n'est pas comment ce
changement intervient qui importe (le transport du contenu) mais sa seule
survenue.

Bref, c'est ne pas avoir, selon moi, le bon état d'esprit pour analyser
les problèmes de sécurité, en particulier sur le web.
« énorme faille » se rapporte à quoi alors ?
Sauf que dans $_REQUEST, il n'y a que GET, POST, et COOKIE, déjà.
De ce point de vue là au moins c'est homogène, on sait que *tout* ce qu'il
y a la-dedans est dangereux, sans exception, et
si on filtre on est sûr de filtrer quel que soit le mécanisme. Alors que
si on décide de ne filtrer que GET ou que POST ou que COOKIE eh bien on
oublie la « big picture » et on se fera avoir un jour au l'autre par une
faille (de sécurité)

Si il y a mélange entre les trois, on a affaire à un problème de sécurité
bien plus grand je pense, juste d'une application mal développée dès le
départ (si elle se prend les pieds avec le nommage de ses variables,
internes ou externes, je pense que ca s'en ressentira rapidement sur les
fonctionnalités et le nombre de bugs). Même si cela peut arriver, je trouve
ce problème bien moindre que de croire que vérifier que REQUEST_METHOD =
POST solutionne tout (à voir comment un post qui dit le contraire déchaine
les passions avec 3 réponses unanimes dans les 2 heures).
D'autre part on risque de s'en apercevoir (« ca ne marche pas») alors
qu'on croira dormir sur ses 2 oreilles avec son test bidon sur la méthode,
sans penser un seul instant qu'on ne solutionne en réalité pas grand chose.
Vous vous sentiez visé explicitement par ma phrase alors :-) ?
Ce n'était pourtant pas le but.

Je faisais juste état des fausses bonnes réponses qu'on lit à longueur de
forum ou de pages web...
Je cherche le mot « majorité » dans ma réponse.

Mais donc sinon merci de confirmer que la majorité (notamment ici) qui
croit que POST/GET c'est mieux que REQUEST, n'a pas raison :-)

Il ne vous aura pas échappé qu'à l'endroit où ces méthodes sont définies,
à savoir dans le RFC du protocole HTTP, protocole qui est un protocole de
*transport* d'information (comme le signifie le deuxième T), il n'y a pas
lieu de s'occuper de comment cela est géré côté serveur, parce que ce sont
(le transport vers le serveur, et la gestion interne du serveur et des
applications subordonnées) deux choses complétement décorrelées.

Si ce sont deux concepts différents, on peut s'amuser à tester
$_SERVER['REQUEST_METHOD']. Après quoi, je ne vois pas pourquoi dans le
code il faudrait un cas spécifique à une méthode et un cas spécifique à
une autre. Avoir une seule API et une abstraction simplifie souvent les
choses (tant qu'on comprend bien ce qui se passe « en-dessous »)
^^^^^^^^^^^^^

Non, pas en même temps, la preuve vous faites un POST là. Pas un GET.
Lancez un sniffeur, vous verrez bien votre navigateur faire un POST ou
serveur. Pas un POST et un GET en même temps, non juste un POST. Donc la
méthode ici est POST, point final.

Maintenant, si l'application est concue n'importe comment, c'est un autre
problème.

C'est peut-être un point non/mal spécifié dans la norme, mais c'est
clairement quelque chose qui n'a pas lieu d'être (on ne gagne rien à
?id=12 vs input type=hidden name=id value=12 si ce n'est quelques
caractères, si on est radin on pourrait même exploiter quelque chose
d'assez peu connu, le PATH_INFO, et faire action="article.php/id=12"). Je
ne vois pas pourquoi, sous prétexte d'applications mal concues, il
faudrait bâtardiser l'API pour le reste du monde...

À noter que je connais au moins une API (que je trouve sensée) qui, dans
le cas que vous donnez, ne prendrez pas du tout en compte le ?id=12 qui ne
serait pas visible du programme (sauf à bidouiller explicatement dans la
variable d'environnement QUERY_STRING évidemment). On en revient alors à
ce que je disais dans un autre message : le développeur s'apercevrait
immédiatement que cela ne marche pas (le id étant perdu dans la bagarre)
et changerait donc son code pour faire quelque chose qui marche (mettre le
id en champ caché).

Il est clair que sinon effectivement à faire de baisser la barrière
d'entrée et d'accepter tout et n'importe quoi au simple motif de faciliter
la vie des gens qui ne veulent surtout pas réfléchir mais juste que « ca
marche » eh bien on en arrive à des catastrophes (merci register_global et
autres bourdes du même tonneau)
Et alors ?
Si vous utilisez $_POST['action'], l'attaquant peut tout aussi bien
bidouiller le formulaire et ajouter un champ caché. Donc même résultat.
Ce n'est pas utiliser $_POST['action'] à la place de $_REQUEST['action']
qui va bloquer un attaquant...
Non, cela n'apporte AUCUNE sécurité.
On ne met pas de pansements sur des jambes de bois...
C'est aussi celle de l'élément le plus faible du chaînon. Si c'est dernier
tient en la croyance que $_REQUEST c'est mal et qu'en prenant $_POST je
suis sauf, alors la sécurité globale est bien faible...
Elle est même « négative » selon moi dans le sens où avoir l'impression de
sécurité est encore pire que pas de sécurité du tout.
Ce n'est pas la façon dont une variable est transportée qui doit
déterminer une mesure de sécurité.
Ca serait comme dire : si je recois un courrier via Chronopost je ne le
lis pas de la même façon que si je le reçois par la poste normale. Bah
non, le *contenu* de la lettre peut être le même, dangereux ou pas,
quelque soit l'enveloppe et la façon de l'acheminer.

Après vous mélangez la-dedans de la sémantique, qui est encore un autre
problème.
Idem avec un POST (dans un site piégé, voire dans un email si on a le
droit au javascript ou aux formulaires)
Je doute que ce soit des modèles de sécurité...
Certes, et sur ce point nous sommes d'accord. Mais cela n'a donc rien à
voir avec *comment* on accède à ces données, que ce soit un tableau appelé
POST ou un tableau appelé GET (les données viennent de « n'importe où »
dans les deux cas).