应使用 filter_input()/filter_var() 将过滤结果存入新变量(如 $safe_input)并全程使用,避免直接修改只读超全局变量;注意 php 8.1+ 废弃 filter_sanitize_string,json 接口需从 php://input 读取并转关联数组,$_server 等易忽略字段也须过滤。
直接过滤 $_GET 和 $_POST 会丢数据
PHP 的超全局变量本身是只读引用,不能直接赋值覆盖。你写 $_GET = filter_input_array(INPUT_GET, $filters) 看似在“过滤”,实际只是生成新数组,原 $_GET 没变,后续代码还在用未过滤的原始值——等于白干。
真正要做的,是把过滤结果存进**新变量**,然后全程用它,别再碰原始超全局。
- 用
filter_input()或filter_input_array()拿过滤后值,赋给$safe_input这类变量名 - 函数第二个参数必须明确指定过滤器,比如
FILTER_SANITIZE_STRING已被弃用,PHP 8.1+ 会报E_DEPRECATED,改用FILTER_SANITIZE_SPECIAL_CHARS - 如果字段可能为空或缺失,
filter_input()默认返回null,不是空字符串,注意判空逻辑别写成if ($_GET['id'])这种
filter_var() 处理已知变量比 filter_input() 更可控
当你已经从 $_POST 里取出了某个值(比如 $raw = $_POST['email']),再用 filter_var() 做校验,比硬套 filter_input(INPUT_POST, 'email', ...) 更容易调试、加日志、分步处理。
-
filter_var($raw, FILTER_VALIDATE_EMAIL)验证失败返回false,不是抛异常,记得用=== false判定 - 需要同时清理和验证?先用
FILTER_SANITIZE_EMAIL清洗,再用FILTER_VALIDATE_EMAIL校验,不要指望一个过滤器干两件事 -
FILTER_SANITIZE_NUMBER_INT会删掉所有非数字字符,包括负号和小数点,想保留负整数得自己用正则或intval()+ 类型判断
JSON 接口里 $_POST 是空的,得从 php://input 读
前端发 Content-Type: application/json,PHP 不会自动解析到 $_POST,这时候还去过滤 $_POST 就永远拿不到数据。
立即学习“PHP免费学习笔记(深入)”;
- 先用
file_get_contents('php://input')读原始 body,再json_decode(),最后对解出来的数组逐字段用filter_var() - 注意
json_decode()默认返回stdClass对象,不是数组,filter_input_array()不支持对象,得转成关联数组:json_decode($raw, true) - 如果 JSON 解析失败(比如格式错、超限),
json_last_error()返回非零值,这时别往下走过滤逻辑,直接 400
没过滤的 $_SERVER['HTTP_REFERER'] 和 $_SERVER['QUERY_STRING'] 很危险
这两个常被忽略,但它们内容完全由客户端控制,且 PHP 不做任何默认转义。比如拼 SQL、生成跳转 URL、输出到页面时直接插进去,XSS 或 SSRF 就来了。
-
$_SERVER['HTTP_REFERER']必须过filter_var($ref, FILTER_SANITIZE_URL)再用于重定向,否则可能跳到恶意地址 -
$_SERVER['QUERY_STRING']如果要记录日志或显示调试信息,先用htmlspecialchars(),别信FILTER_SANITIZE_STRING(已废) - 别用
parse_str($_SERVER['QUERY_STRING'], $out)后直接用$out,它不做过滤,只是拆键值对
最麻烦的不是不会用过滤函数,而是漏掉那些“看起来不像输入”的地方——比如 $_SERVER 里的字段、getallheaders() 返回的头、甚至 $_FILES['xxx']['name'] 里的文件名。这些全得单独处理,没有银弹。
