PHP 的新 input_filter 不读取 $_GET 或 $_POST 数组

Question

在 PHP 5.2 中添加了一个很好的安全函数，称为“input_filter”，所以不用说:

$name = $_GET['name'];

你现在可以说:

$name = filter_input (INPUT_GET, 'name', FILTER_SANITIZE_STRING);

它会自动清理你的字符串，还有:

• FILTER_SANITIZE_ENCODED
• FILTER_SANITIZE_NUMBER_INT
• FILTER_SANITIZE_EMAIL
• FILTER_SANITIZE_URL

等所以这是一个非常方便使用的安全功能，我想完全切换到它。

问题是... 我经常在处理 $_GET 和 $_POST 数组之前对其进行操作，如下所示:

$_GET['name'] = '(默认名称)';

但似乎 filter_input 无法访问 $_GET 中的更改，因为它读取类型为 int (?) 的“INPUT_GET”。如果我能让 filter_input 改为读取 $_GET 就好了，但是:

$name = filter_input ( $_GET, 'name', FILTER_SANITIZE_STRING );

给我错误:

Warning: filter_input() expects parameter 1 to be long, array given.

任何人都可以想出一种方法，我可以:

• 操纵 INPUT_GET 的源(无论它在哪里)，以便我可以在 filter_input 读取它们之前更改它的值
• 获取 filter_input 以读取 $_GET

附录:

---

Rich 问道:“你为什么要改变数组，你肯定希望它们成为输入，而不是你以编程方式插入的东西。”

这是一个非常方便的地方来预处理传入的变量，例如为了:

• 设置默认值(如果 $_GET['state'] = '' 那么 $_GET['state'] = 'AL')
• 进行手动处理(删除所有空格等)
• 安全性(其中一些现在将由 filter_input 完成)

然后我知道当我得到传入变量时，它是安全有效的。当然，我可以将 $_GET 数组复制到另一个数组并处理该数组，但这只是一个不必要的步骤，因为我 $_GET 已经是一个正常运行的数组，因此使用这些已经存在的系统数组来完成它是有意义的。

Answer 1

您可以使用 filter_var 手动强制它再次读取数组和 filter_var_array

$name = filter_var ( $_GET['name'], FILTER_SANITIZE_STRING );