获取 GET/POST 参数时，直接去除其前后得空格，会有什么隐患？

以PHP为例，假定：有getParam($name)方法返回$_GET[$name]的值。如果我在这个方法里，对所有$_GET值都直接做trim处理，会产生怎样的隐患呢？Ps：不传递空值、NULL、true/false。

查看完整描述

2 回答

慕容森

TA贡献1853条经验获得超18个赞

如果指的是安全隐患？我觉得没有安全隐患。但是我不建议你这么做，我就是要传空格+字母呢。看使用场景，如果你在写一个通用的方法，比如你在写一个框架通用的方法，是不是要trim就交给使用者自己来决定吧。你只是写一个业务逻辑controller里的方法，我觉得没问题。

反对回复 2019-05-13

素胚勾勒不出你

TA贡献1827条经验获得超9个赞

一般情况下是要过滤掉的，因为如果参数里面带空格很多的话可能后面有更多未知的bug；即使你要传空格也行啊转成实体标签，我觉得没什么安全隐患，如果你非要保留空格可以具体按照你的业务逻辑来考虑

反对回复 2019-05-13

热搜