PHP过滤超全局变量输入方法

本文深入剖析了PHP中安全过滤超全局变量输入的关键实践与常见误区，强调必须摒弃直接修改$_GET、$_POST等只读超全局变量的错误做法，转而使用filter_input()或filter_var()将清洗/验证后的结果明确存入新变量（如$safe_input）并全程使用；特别提醒PHP 8.1+已废弃FILTER_SANITIZE_STRING，JSON接口需从php://input手动解析并转为关联数组再逐字段过滤，同时不可忽视$_SERVER中HTTP_REFERER、QUERY_STRING等高危但常被忽略的客户端可控字段——真正的安全不在于掌握几个函数，而在于系统性识别所有潜在输入源并逐一严控。

直接过滤 $_GET 和 $_POST 会丢数据

PHP 的超全局变量本身是只读引用，不能直接赋值覆盖。你写 $_GET = filter_input_array(INPUT_GET, $filters) 看似在“过滤”，实际只是生成新数组，原 $_GET 没变，后续代码还在用未过滤的原始值——等于白干。

真正要做的，是把过滤结果存进**新变量**，然后全程用它，别再碰原始超全局。

• 用 filter_input() 或 filter_input_array() 拿过滤后值，赋给 $safe_input 这类变量名
• 函数第二个参数必须明确指定过滤器，比如 FILTER_SANITIZE_STRING 已被弃用，PHP 8.1+ 会报 E_DEPRECATED，改用 FILTER_SANITIZE_SPECIAL_CHARS
• 如果字段可能为空或缺失，filter_input() 默认返回 null，不是空字符串，注意判空逻辑别写成 if ($_GET['id']) 这种

filter_var() 处理已知变量比 filter_input() 更可控

当你已经从 $_POST 里取出了某个值（比如 $raw = $_POST['email']），再用 filter_var() 做校验，比硬套 filter_input(INPUT_POST, 'email', ...) 更容易调试、加日志、分步处理。

• filter_var($raw, FILTER_VALIDATE_EMAIL) 验证失败返回 false，不是抛异常，记得用 === false 判定
• 需要同时清理和验证？先用 FILTER_SANITIZE_EMAIL 清洗，再用 FILTER_VALIDATE_EMAIL 校验，不要指望一个过滤器干两件事
• FILTER_SANITIZE_NUMBER_INT 会删掉所有非数字字符，包括负号和小数点，想保留负整数得自己用正则或 intval() + 类型判断

JSON 接口里 $_POST 是空的，得从 php://input 读

前端发 Content-Type: application/json，PHP 不会自动解析到 $_POST，这时候还去过滤 $_POST 就永远拿不到数据。

• 先用 file_get_contents('php://input') 读原始 body，再 json_decode()，最后对解出来的数组逐字段用 filter_var()
• 注意 json_decode() 默认返回 stdClass 对象，不是数组，filter_input_array() 不支持对象，得转成关联数组：json_decode($raw, true)
• 如果 JSON 解析失败（比如格式错、超限），json_last_error() 返回非零值，这时别往下走过滤逻辑，直接 400

没过滤的 $_SERVER['HTTP_REFERER'] 和 $_SERVER['QUERY_STRING'] 很危险

这两个常被忽略，但它们内容完全由客户端控制，且 PHP 不做任何默认转义。比如拼 SQL、生成跳转 URL、输出到页面时直接插进去，XSS 或 SSRF 就来了。

• $_SERVER['HTTP_REFERER'] 必须过 filter_var($ref, FILTER_SANITIZE_URL) 再用于重定向，否则可能跳到恶意地址
• $_SERVER['QUERY_STRING'] 如果要记录日志或显示调试信息，先用 htmlspecialchars()，别信 FILTER_SANITIZE_STRING（已废）
• 别用 parse_str($_SERVER['QUERY_STRING'], $out) 后直接用 $out，它不做过滤，只是拆键值对

最麻烦的不是不会用过滤函数，而是漏掉那些“看起来不像输入”的地方——比如 $_SERVER 里的字段、getallheaders() 返回的头、甚至 $_FILES['xxx']['name'] 里的文件名。这些全得单独处理，没有银弹。

以上就是《PHP过滤超全局变量输入方法》的详细内容，更多关于的资料请关注golang学习网公众号！