在 PHP 5.2 中添加了一个很好的安全函数,称为“input_filter”,所以不用说:
$name = $_GET['name'];
你现在可以说:
$name = filter_input (INPUT_GET, 'name', FILTER_SANITIZE_STRING);
它会自动清理你的字符串,还有:
FILTER_SANITIZE_ENCODEDFILTER_SANITIZE_NUMBER_INTFILTER_SANITIZE_EMAILFILTER_SANITIZE_URL
等 所以这是一个非常方便使用的安全功能,我想完全切换到它。
问题是... 我经常在处理 $_GET 和 $_POST 数组之前对其进行操作,如下所示:
$_GET['name'] = '(默认名称)';
但似乎 filter_input 无法访问 $_GET 中的更改,因为它读取类型为 int (?) 的“INPUT_GET”。如果我能让 filter_input 改为读取 $_GET 就好了,但是:
$name = filter_input ( $_GET, 'name', FILTER_SANITIZE_STRING );
给我错误:
Warning: filter_input() expects parameter 1 to be long, array given.
任何人都可以想出一种方法,我可以:
- 操纵
INPUT_GET的源(无论它在哪里),以便我可以在 filter_input 读取它们之前更改它的值 - 获取 filter_input 以读取
$_GET
附录:
Rich 问道:“你为什么要改变数组,你肯定希望它们成为输入,而不是你以编程方式插入的东西。”
这是一个非常方便的地方来预处理传入的变量,例如为了:
- 设置默认值(如果 $_GET['state'] = '' 那么 $_GET['state'] = 'AL')
- 进行手动处理(删除所有空格等)
- 安全性(其中一些现在将由 filter_input 完成)
然后我知道当我得到传入变量时,它是安全有效的。当然,我可以将 $_GET 数组复制到另一个数组并处理该数组,但这只是一个不必要的步骤,因为我 $_GET 已经是一个正常运行的数组,因此使用这些已经存在的系统数组来完成它是有意义的。
最佳答案
您可以使用 filter_var 手动强制它再次读取数组和 filter_var_array
$name = filter_var ( $_GET['name'], FILTER_SANITIZE_STRING );
关于PHP 的新 input_filter 不读取 $_GET 或 $_POST 数组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/298535/