应使用$_server['query_string']配合parse_str()手动解析原始get参数,而非直接依赖预处理的$_get;动态键名须白名单校验,避免注入;注意cli等sapi兼容性及nginx配置差异。
PHP 如何安全获取全部动态 GET 参数
直接用 $_GET 能拿到所有参数,但不等于“能用”——比如参数名含点号、中括号、空格或重复键时,PHP 会自动重写键名或丢弃部分值。真实场景中,$_GET 是被 PHP 的 URL 解析器预处理过的快照,不是原始输入。
- 用
parse_str(parse_url($_SERVER['REQUEST_URI'], PHP_URL_QUERY), $raw)可还原原始查询字符串的键值对(注意:不处理编码异常) - 更稳妥的做法是读取原始查询字符串:
$_SERVER['QUERY_STRING'],再用parse_str()手动解析,避免 CGI 模式下$_GET被 Nginx/Apache 二次转义干扰 - 若参数名含
.或[(如user.name、filter[status]),PHP 默认会把它们转成user_name和filter_status,此时必须绕过$_GET,自己解析
动态参数名匹配:用正则提取而非硬编码键名
当 URL 中参数名本身可变(例如 ?field_123=value&field_456=value),靠写死 $_GET['field_123'] 显然不可行。
- 先获取全部原始 GET 键:
array_keys($_GET)或从$_SERVER['QUERY_STRING']解析后取键 - 用
preg_grep('/^field_\d+$/i', $keys)筛出符合模式的参数名 - 再逐个取值:
foreach ($matched_keys as $key) { $value = $_GET[$key] ?? null; } - 注意:若参数值需类型转换(如数字 ID),别在
preg_grep前就用filter_var,应先完成匹配再过滤,否则可能因类型转换失败导致键丢失
防止参数污染:动态键名下的覆盖与注入风险
允许任意参数名等于开放变量注入入口。比如攻击者传入 ?GLOBALS[db_host]=evil.com,在老版本 PHP 或错误配置下可能污染超全局数组。
- 禁止直接将用户输入的键名用于数组赋值,如
$data[$_GET['key']] = $_GET['val'] - 所有动态键名必须白名单校验:
if (!preg_match('/^[a-z0-9_]{2,32}$/i', $key)) { continue; } - 涉及对象属性或函数调用时(如
$obj->{$key}或call_user_func($key)),必须严格限制命名空间和前缀,避免执行任意方法 - 启用
disable_functions并关闭register_globals(虽已废弃,但某些共享主机仍遗留配置)
兼容性陷阱:CLI 模式下 $_GET 为空,但 QUERY_STRING 存在
用 php -S 启动内置服务器时,$_GET 正常;但若通过 CLI 运行脚本模拟请求(如单元测试、命令行工具),$_GET 始终为空,而 $_SERVER['QUERY_STRING'] 也可能未设置。
立即学习“PHP免费学习笔记(深入)”;
- 不要假设
$_GET总有值,始终做空判断:!empty($_GET) || !empty($_SERVER['QUERY_STRING']) - 统一抽象一个
get_raw_query_params()函数,在不同 SAPI 下自动适配来源 - 在 CLI 场景中,可用
getopt()或$argv模拟 GET 行为,但需约定格式(如--query="a=1&b=2"),不能混用
merge_slashes off 配置 + PHP 的 request_uri 解析差异,会导致带双斜杠的参数名(如 ?sort//name)被截断或合并——这种边界 case 不测到线上根本不会暴露。 
