[(#ENV{variable,affichage_par_défaut})] (SPIP 1.8, 1.8.1’den itibaren) HTTP isteği ile geçirilen değişkene ulaşmaya olanak tanır. affichage_par_défaut değişken mevcut değilse bile yine de bir değer döndüren seçimlik bir bölümüdür.
-
#ENV{le_post},propre()fonksiyonu ile formun temizlenmiş ve zararsız verilerini döndürür. -
#ENV*{le_post},interdire_scripts()fonksiyonu ile geçirilen ve yine zararsız el değmemiş verileri döndürür. -
#ENV**{le_post}komutu da el değmemiş form verilerini döndürür amainterdire_scripts()fonksiyonuyla geçirilmediği için (<ve diğerleri<script language=php>gibi... temizlenmemiş zararlı kodlar enjekte edilebilir !).
çok basit bir form düşünelim :
<form method="get">
<input type="text" name="test" value="#ENV{test}"> <input type="submit">
</form>
#ENV{test}<br />
#ENV*{test}<br />
#ENV**{test}<br />görüntülenen bu formun « test » alanına şunları girelim : <?php echo date('Y-m-d'); ?> ve onaylayalım.
- #ENV{test} şunu döndürür (html kaynak kodu) : <?php echo date('Y-m-d'); ?>
- #ENV*{test} şunu döndürür (html kaynak kodu) : <?php echo date('Y-m-d'); ?>
- #ENV**{test} şunu döndürür (html kaynak kodu) : 2009-02-12 yani işlenmiş php.