我知道$_REQUEST不好,因为它也包含cookie数据。
如果我们对$_REQUEST使用某种干净的函数,它仍然不好吗?有人能详细说明吗?
$_REQUEST不是特别危险的。任何用户输入都可能是一种攻击,应按此处理。对于任何输入介质$_GET、$_POST、$_COOKIE,使用适当的方法intval()、preg_match()。。。验证您收到的价值是您所期望的。
例如,如果您想要一个文件名并打算将其发送给用户,请确保它不包含..或/,这样用户就无法访问您的文件系统。
如果要在数据库中插入用户生成的值,请确保使用旧的mysql_real_escape_string或更好的PDO或mysqli准备的语句转义值。