我知道$_REQUEST
不好,因为它也包含cookie数据。
如果我们对$_REQUEST
使用某种干净的函数,它仍然不好吗?有人能详细说明吗?
$_REQUEST
不是特别危险的。任何用户输入都可能是一种攻击,应按此处理。对于任何输入介质$_GET
、$_POST
、$_COOKIE
,使用适当的方法intval()
、preg_match()
。。。验证您收到的价值是您所期望的。
例如,如果您想要一个文件名并打算将其发送给用户,请确保它不包含..
或/
,这样用户就无法访问您的文件系统。
如果要在数据库中插入用户生成的值,请确保使用旧的mysql_real_escape_string
或更好的PDO或mysqli准备的语句转义值。