De acuerdo con la hoja de trucos PHP de OWASP :
Se desaconseja enfáticamente el uso de
$_REQUEST
. Este súper global no se recomienda ya que incluye no solo los datos POST y GET, sino también las cookies enviadas por la solicitud. Todos estos datos se combinan en una matriz, lo que hace casi imposible determinar el origen de los datos. Esto puede generar confusión y hace que su código sea propenso a errores, lo que podría ocasionar problemas de seguridad.
Entiendo por qué esto es una mala práctica desde una perspectiva de programación, pero no entiendo las implicaciones de seguridad de esto. Dado que el atacante, la persona que envía la solicitud, tiene control total sobre las tres: obtener variables, publicar variables y cookies, no veo qué diferencia hace.
Un problema que podría ver es si, por ejemplo, un WAF verifica la cadena de consulta en busca de comportamientos sospechosos, por lo que el atacante entrega la carga útil en una cookie. Pero ¿hay otros problemas? ¿Puede alguien darme un ejemplo concreto de cómo el uso de $_REQUEST
causaría una vulnerabilidad?