$ _GET在PHP參數的函數

Question

我有同樣的問題，但...我重定向根據的，如果使用標頭是通過函數構建動態頁面語句的用戶。爲了使該功能正常工作，它需要在標題的GET部分中傳遞的參數。

根據什麼來提供的答案，這是一個不好的做法。我該怎麼做呢？

function page($title,$msg){ 
    $title = $_GET['title']; 
    $msg = $_GET['msg']; 
    echo '<h1>'.$title.'</h1>'; 

    echo '<p>'; 
    switch($msg){ 
     case 1: 
      echo 'dwasdwadawdwadwa'; 
     break; 
     case 2: 
      echo 'wasdadwadwdad'; 
     break; 
     default: 
      echo 'wadasdasd'; 
     break; 
    } 
    echo '</p>'; 
} 

ps：隨意指出你看錯的東西。

我發現this，但它並沒有真正幫助我。

Answer 1

答案給你鏈接的問題表明，功能不應該依賴任何外部（例如全局）變量，你可以訪問所有相同的屬性。 $_GET和$_POST（其中包括）是'超級全局'，這是PHP的一種語言特性，可以在任何範圍內使用它們。這意味着它們可能會在腳本的任何地方被意外修改。

避免這種情況的一種方法是避免在方法中使用超類全局變量，而不是像另一個問題的答案所表明的那樣，而是需要變量的參數，否則這些變量會從超級全局變量中獲得。的

例如，而不是：

function add_user() { 
    $user = $_GET['user']; 
    // ... 
} 
add_user(); 

你可以使用：

function add_user($user) { 
    // ... 
} 
add_user($_GET['user']); 

在你的情況，你會怎樣想的是：

function page($title, $msg){ 
    echo '<h1>'.$title.'</h1>'; 
    echo '<p>'; 
    switch($msg){ 
    case 1: 
     echo 'dwasdwadawdwadwa'; 
    break; 
    case 2: 
     echo 'wasdadwadwdad'; 
    break; 
    default: 
     echo 'wadasdasd'; 
    break; 
    } 
    echo '</p>'; 
} 

然後，當你調用page你可以這樣稱呼它：

page($_GET['title'], $_GET['msg']); 

Answer 2

不知道如果我明白你的問題，但這裏是一些代碼，我用處理我的AJAX調用有：

$mc = new MyClass(); 
echo $mc->{$_GET["operation"]}($_GET); 

這意味着「操作」是指內部MyClass的方法名稱和我沒有加每種方法都有一個新的switch語句。現在就可以增加一個功能「的addRecord（$參數）」，以MyClass的，和我的Ajax調用是這樣的：

ajax_users.php?operation=addRecord&name=testuser&dob=1980-01-01 

你的PHP函數接收陣列中的參數，所以內部功能addRecord()你必須訪問像$args['name']和$args['dob']這樣的變量，並且它有多少參數需要傳遞給您的方法。

確保你使用準備好的語句這裏或適當的逃逸，以防止SQL注入。

Answer 3

雖然你不一定用的東西的$_GET輸入需要安全性的考慮（在這種情況下），這是一個不好的做法不是從URL進行消毒值。

您不僅應該檢查惡意輸入（尤其是如果您使用輸入來查詢數據庫），但您應該驗證預期的整數值確實是整數，並且所需的字符串不是空的。

此外，您page($title, $msg)函數接受$title和$msg並設定他們，即使他們不是passed by reference。

1. 如果您希望修改輸入參數，請通過引用傳遞它們。

2. 如果您需要使用的輸入參數，不要馬上覆蓋它們。

3. 如果你不需要輸入參數，只有使用價值從$_GET本地到你的函數，聲明page()不帶任何參數。

Answer 4

爲什麼你需要使用GET？如果你使用POST這也是更安全