我知道$_REQUEST不好,因为它也包含cookie数据。
如果我们使用某种清洁功能,使用$_REQUEST仍然不好吗?有人能够详细说明吗?
答案 0 :(得分:3)
$_REQUEST并非特别危险。任何用户输入都可能是攻击,应该这样对待。对于任何输入媒体$_GET,$_POST,$_COOKIE,请使用适当的方法intval(),preg_match(),...来验证您收到的值是什么你期待。
例如,如果您希望文件名并打算将其发送给用户,请确保它不包含..或/,这样用户将无法访问您的文件系统。
如果要在数据库中插入用户生成的值,请确保使用旧的mysql_real_escape_string或更好的PDO或mysqli预处理语句转义值。