获取 GET/POST 参数时，直接去除其前后得空格，会有什么隐患？

PHP

MMTTMM 2019-03-11 12:45:19

以 PHP 为例，假定：有 getParam($name) 方法返回 $_GET[$name] 的值。如果我在这个方法里，对所有 $_GET 值都直接做 trim 处理，会产生怎样的隐患呢？ Ps：不传递空值、NULL、true/false。

查看完整描述

5 回答

呼啦一阵风

TA贡献1802条经验获得超6个赞

如果指的是安全隐患？我觉得没有安全隐患。
但是我不建议你这么做，我就是要传空格+字母呢。

看使用场景，如果你在写一个通用的方法，比如你在写一个框架通用的方法，是不是要 trim 就交给使用者自己来决定吧。
你只是写一个业务逻辑 controller 里的方法，我觉得没问题。

反对回复 2019-03-18

小怪兽爱吃肉

TA贡献1852条经验获得超1个赞

一般情况下是要过滤掉的，因为如果参数里面带空格很多的话可能后面有更多未知的bug；即使你要传空格也行啊转成实体标签，我觉得没什么安全隐患，如果你非要保留空格可以具体按照你的业务逻辑来考虑

反对回复 2019-03-18

慕桂英3389331

TA贡献2036条经验获得超8个赞

一般来说使用是没有隐患的，要有的话，就是你的业务逻辑里面会出现空格，因为trim()的本身默认就是去除左右空格、tab 等空的

反对回复 2019-03-18

慕哥9229398

TA贡献1877条经验获得超6个赞

如果只是$_GET的话没有隐患，而且非常支持这样做！

反对回复 2019-03-18

ibeautiful

TA贡献1993条经验获得超5个赞

我平常就是这么做的，这不是什么安全隐患，而是必要的过滤。

反对回复 2019-03-18

热搜