在PHP中,$_POST、$_GET 和 $_REQUEST 是超级全局变量,它们分别用来获取HTTP请求中的不同部分的数据:
-
$_POST:$_POST用于接收通过HTTP POST方法提交表单数据或其他类似POST请求的数据。- 示例:
<form method="post" action="process.php"> <input type="text" name="username" value="example_user"> <input type="submit" value="Submit"> </form> // 在 process.php 文件中获取数据 <?php $username = $_POST['username']; echo "Received username: " . $username;
-
$_GET:$_GET用于从URL查询字符串中获取变量值,通常用于链接或者表单通过HTTP GET方法提交数据。- 示例:
<!-- URL形式如:http://example.com/process.php?username=example_user --> <a href="process.php?username=example_user">Link</a> // 在 process.php 文件中获取数据 <?php $username = $_GET['username']; echo "Received username: " . $username;
-
$_REQUEST:$_REQUEST是一个包含了$_GET、$_POST以及$_COOKIE中所有变量的组合数组,因此它可以访问上述两种方法提交的数据。- 由于是数组所以无论是post get 还是cookie 他们的建值要保持唯一性,否则会将其替换。这是数组的特性
- 注意:出于安全考虑,不建议直接使用
$_REQUEST,因为它的行为可能会受到服务器配置的影响。
为了防止跨站脚本攻击(XSS),对这些变量中的用户输入进行转义非常重要。htmlspecialchars() 函数就是用来做这件事的,它会把特殊字符转换为HTML实体,例如 < 转成 <,> 转成 > 等等。
使用 htmlspecialchars() 对 $_POST 和 $_GET 数据进行格式化:
// 获取所有POST和GET数据
$post_data = $_POST;
$get_data = $_GET;
// 使用foreach遍历并转义每个变量
foreach ($post_data as $key => &$value) {
$value = htmlspecialchars($value, ENT_QUOTES, 'UTF-8');
}
foreach ($get_data as $key => &$value) {
$value = htmlspecialchars($value, ENT_QUOTES, 'UTF-8');
}
//或者可以这样
foreach ($post_data as $key => $value){
$post[$key] = htmlspecialchars($value)
}
// 现在,即使数据中含有HTML特殊字符,也不会被浏览器解析为HTML或JavaScript
以上代码中,ENT_QUOTES 参数确保单引号 ' 和双引号 " 也会被转义,而 'UTF-8' 指定了字符编码。这样处理之后,用户输入的内容就可以安全地在HTML文档中显示了,不会引发潜在的安全问题。不过,对于存储或数据库操作,通常还需要结合其他方式进一步过滤和验证数据。
在PHP中,$_REQUEST可以接收并返回数字类型的数据,无论是来自 $_POST还是 $_GET。下面是一个包含数字输入的示例:
假设你有一个HTML表单,其中包含一个数字类型的输入字段:
<!-- form.html -->
<form method="post" action="process.php">
<input type="number" name="age" value="30">
<input type="submit" value="Submit">
</form>
然后在 process.php中处理请求:
// process.php
<?php
if (isset($_POST['age'])) {
$age = $_POST['age']; // 这里接收到的是数字类型的数据
// 或者也可以通过 $_REQUEST 来获取
$ageFromRequest = $_REQUEST['age'];
// 输出接收到的年龄
echo "Age received from POST request: " . $age . "\n";
echo "Age received from REQUEST: " . $ageFromRequest . "\n";
// 对于数字类型的数据,不需要使用 htmlspecialchars,但这里仅为演示如何处理任何类型的请求数据
$safeAgeFromPost = htmlspecialchars($age, ENT_QUOTES, 'UTF-8');
$safeAgeFromRequest = htmlspecialchars($ageFromRequest, ENT_QUOTES, 'UTF-8');
// 输出转义后的数字(转义对数字本身无影响,但展示了处理过程)
echo "Escaped age from POST: " . $safeAgeFromPost . "\n";
echo "Escaped age from REQUEST: " . $safeAgeFromRequest . "\n";
}
?>
尽管对于纯数字内容,htmlspecialchars()函数并不改变其值,但在实际应用中,我们仍建议对所有用户输入进行适当的过滤和验证,以保证最佳的安全性。