PHP 接收参数时需要检测吗？

关键词： sql 注入， xss

可以考虑 filter_input 或者框架集成

对于 整形 我直接 intval()
对于字符串 直接 htmlspecialchar()

也不知道 有没有隐患。。。

@b821025551b 不是这个问题。
我的问题是"检测变量是否被传入"而不是验证"已传入变量的安全性"。

@Exin 个人感觉：安全性（数据库）方面应该没什么影响，但是基于书本上说的，“安全性是系统设计、实现和管理的一部分，其作用是保证系统可以完全按照人们想要的方式运行”，那么不监测是否传入空值，从而产生异常程序死掉，这个程序就是“不安全”的。至于危害，
站在测试人员角度：空值导致程序非正常运行， bug ，滚回去改；
站在运维人员角度：满屏的 500 ，这么多 bug 滚回去改；
站在用户角度：什么＊＊网站， f ＊＊ k ，又＊＊死了。
那么你就第 N ＋ 1 遍改代码喽。

@b821025551b 谢谢。

试试这个？ https://github.com/illuminate/validation

isset($_GET) 必定是 true 啊

@xmbaozi 噢，对的。。手抖了

如果没有参数就是数组的键不存在，会有一个 notice ，不是致命错误，所以不会 500

还是要检测的，自己封装一个方法吧，不存在的时候给个默认值。

$val = isset($_GET['key']) ? $_GET['key']:0;
如果不存在就给个默认值进去

@xmbaozi 的确不是直接 500 。一般是在 func($val)里面异常导致 500 。

这跟 php 没什么关系吧，其他语言，你也要判断吧。。。

@mahone3297 限定一下范围有助于话题展开。

@mahone3297 ruby 可以用 guard operator ，不用这么麻烦。