已解決430363個問題，去搜搜看，總會有你想問的

獲取 GET/POST 參數時，直接去除其前后得空格，會有什么隱患？

首頁猿問獲取 GET/POST...

PHP

MMTTMM 2019-03-11 12:45:19

以 PHP 為例，假定：有 getParam($name) 方法返回 $_GET[$name] 的值。如果我在這個方法里，對所有 $_GET 值都直接做 trim 處理，會產生怎樣的隱患呢？ Ps：不傳遞空值、NULL、true/false。

查看完整描述

5 回答

呼啦一陣風

TA貢獻1802條經驗獲得超6個贊

如果指的是安全隱患？我覺得沒有安全隱患。
但是我不建議你這么做，我就是要傳空格+字母呢。

看使用場景，如果你在寫一個通用的方法，比如你在寫一個框架通用的方法，是不是要 trim 就交給使用者自己來決定吧。
你只是寫一個業務邏輯 controller 里的方法，我覺得沒問題。

反對回復 2019-03-18

小怪獸愛吃肉

TA貢獻1852條經驗獲得超1個贊

一般情況下是要過濾掉的，因為如果參數里面帶空格很多的話可能后面有更多未知的bug；即使你要傳空格也行啊轉成實體標簽，我覺得沒什么安全隱患，如果你非要保留空格可以具體按照你的業務邏輯來考慮

反對回復 2019-03-18

慕桂英3389331

TA貢獻2036條經驗獲得超8個贊

一般來說使用是沒有隱患的，要有的話，就是你的業務邏輯里面會出現空格，因為trim()的本身默認就是去除左右空格、tab 等空的

反對回復 2019-03-18

慕哥9229398

TA貢獻1877條經驗獲得超6個贊

如果只是$_GET的話沒有隱患，而且非常支持這樣做！

反對回復 2019-03-18

ibeautiful

TA貢獻1993條經驗獲得超6個贊

我平常就是這么做的，這不是什么安全隱患，而是必要的過濾。

反對回復 2019-03-18

關注

舉報

0/150

提交

取消