Чому GET-запит не повинен змінювати дані на сервері?

У всьому Інтернеті я бачу таку пораду:

GET ніколи не повинен змінювати дані на сервері - використовуйте для цього POST-запит

Що є основою цієї ідеї?

Якщо я роблю сервіс php, який вставляє дані в базу даних і передає їх параметри в рядок запиту GET, чому це неправильно? (Я використовую підготовлені заяви, щоб подбати про ін'єкцію SQL). Чи запит POST якимось чином більш безпечний?

Або для цього є якась історична причина? Якщо так, наскільки ця порада сьогодні діє?

Це не поради.

A GETвизначено таким чином у протоколі HTTP . Він повинен бути безсильним і безпечним .

Щодо того, чому - а GETможе бути кешований і в браузері, оновлений. Знову і знову і знову.

Це означає , що якщо ви зробите те ж саме GETще раз, ви будете вставляти в вашу базу даних знову .

Поміркуйте, що це може означати, якщо GETперехід стає посиланням, і пошукова система його сканує. У вас буде база даних повна дублікатів даних.

Я також пропоную прочитати URI, адресність та використання HTTP GET та POST .

Існує також проблема з попереднім завантаженням посилань у деяких браузерах - вони будуть закликати попередньо отримувати посилання, навіть якщо автор цього не вказав.

Якщо, скажімо, ваш вихід із-за "GET", пов’язаний із кожною сторінкою вашого веб-сайту, люди можуть вийти із системи саме завдяки цій поведінці.

Кожне дієслово HTTP несе свою відповідальність. Наприклад GET, як визначено RFC

означає отримати будь-яку інформацію (у формі сутності), ідентифіковану URI-запитом.

POST, з іншого боку, означає вставити або більше формально

Метод POST використовується для запиту, щоб сервер-джерело приймав
сутність, включену в запит, як новий підлеглий ресурс,
ідентифікований URI-запитом у рядку запиту

Причини зберегти це таким чином:

• Це дуже просто і працює в глобальному масштабі Інтернету з 1991 року
• Дотримуйтесь принципу єдиної відповідальності
• Інші сторони використовують GETяк засоби пошуку інформації та обміну даними
• GET передбачається безпечною операцією, яка ніколи не змінює стан ресурсу
• Міркування щодо безпеки - GETце фактично читання , тоді як POSTце фактично запис
• GET кешується браузерами, вузлами в мережі, Інтернет-провайдерами
• Якщо зміст вмісту не зміниться, GETоднакова URL-адреса повинна повернути однакові результати всім користувачам, інакше ви не матимете довіри ні до чого у поверненому результаті

Для повноти та просто наведення правильного використання (джерело) :

• GETПараметри передаються як частина URL-адреси, яка має невелику та обмежену довжину 256 символів за замовчуванням, при цьому деякі сервери підтримують 4000+ символів. Якщо ви хочете вставити довгу запис, немає законного способу передавати ці дані
• При використанні захищеного з'єднання ̶ , такі , як Tls, ̶ Посилання не отримує зашифровані, ̶ Тому всі параметри ̶ ̶G̶E̶T̶̶ передаються відкритим текстом. URL-адреса зашифрована за допомогою TLS, тому TLS чудово.
• Вставлення бінарних даних або символів, що не належать до ASCII, за допомогою використання GETнедоцільно
• GET повторно виконується, якщо користувач натискає кнопку "Назад" у браузері
• Деякі старі сканери можуть не індексувати URL-адреси із ?знаком всередині

EDIT: Раніше я говорив, що POST допомагає захистити вас від CSRF, але це неправильно. Я не продумав це правильно. Вам потрібно вимагати унікального прихованого маркера для сеансу у всіх ваших запитах щодо зміни даних для захисту від CSRF.

У перші дні в Інтернеті з'явилися браузерні прискорювачі. Ці програми почнуть клацати посилання на сторінці, щоб кешувати вміст. Google Web Accelerator була однією з таких програм. Це може спричинити загрозу для програми, яка вносить зміни, коли натискається посилання. Я б припустив, що все ще є люди, які використовують програмне забезпечення для прискорення.

Проксі-сервери та браузери кешуватимуть GET-запити, тож коли користувач знову звернеться до сторінки, він може не надсилати запит вашій програмі, тому користувач вважає, що вчинив дію, але насправді цього не зробив.

Якщо я роблю сервіс php, який вставляє дані в базу даних і передає їх параметри в рядок запиту GET, чому це неправильно?

Найпростіша відповідь - «бо це не те, що GETозначає».

Використовувати GETдля передачі даних для оновлення - це як написати любовний лист і надіслати його в конверті з написом "СПЕЦІАЛЬНА ПРОПОЗИЦІЯ - ДІЙТЕ ЗАРАЗ!" В обох випадках ви не повинні дивуватися одержувачу та / або посередникам неправильно обробляти ваше повідомлення .

Для ваших операцій CRUD у додатку, орієнтованому на базу даних, використовуйте таку схему:

Використовуйте HTTP GET для операцій зчитування (SQL SELECT)

Використовуйте HTTP PUT для операцій оновлення (SQL UPDATE)

Використовувати HTTP POST для створення операцій (SQL INSERT)

Використовуйте HTTP DELETE для операцій видалення (SQL DELETE)

GET ніколи не повинен змінювати дані на сервері - використовуйте для цього POST-запит

Ця порада, і всі відповіді тут неправильні. Очевидно, що я надто драматичний, інші відповіді - чудові, але я вважаю, що точну пораду потрібно дати:

GET рідко повинен змінювати дані на сервері - використовуйте для цього POST-запит

Сказати "ніколи" не надто екстремально, і хоча інші відповіді тут точно пояснюють, чому ви повинні "рідко" робити це, є деякі сценарії, коли цілком розумно змінювати дані за допомогою GET. Приклад - посилання для підтвердження одноразового використання електронної пошти. Зазвичай ці посилання містять GUID, що при зверненні доведеться змінювати дані. Якщо правильно реалізовані наступні однакові GET-запити, вони будуть ігноровані.

Це, очевидно, кращий випадок, але, безумовно, варто зазначити.