PHP参数本身无漏洞，漏洞源于未经校验/转义直接使用：拼SQL导致注入、拼路径引发遍历、输出HTML引发XSS、unserialize/eval触发RCE；必须用预处理、白名单、realpath、htmlspecialchars等严格防护。

PHP 接收参数本身没有漏洞，漏洞出在「未经校验/转义就直接使用」——比如拼进 SQL、写入文件、执行系统命令或输出到 HTML。

$_GET、$_POST 等超全局变量是信任的源头

PHP 不会对 $_GET、$_POST、$_REQUEST、$_COOKIE 做任何过滤，所有值都是字符串，且可能被篡改。攻击者可任意构造 ?id=1%27%20UNION%20SELECT%20... 或 ?file=../../etc/passwd。

• 永远不要直接用 $_GET['id'] 拼接 SQL 查询
• 不要用 $_POST['template'] 去 include() 文件
• 避免将 $_COOKIE['theme'] 直接 echo 到页面（XSS 风险）
• 对数字型参数，别只用 is_numeric() ——它会接受 "123abc" 或 "+123"

SQL 注入：PDO 预处理是底线

用 mysql_query() 或 mysqli_query() 拼接字符串已淘汰；即使加了 mysqli_real_escape_string()，也难防多字节编码绕过或宽字节注入。唯一可靠方式是预处理语句。

try {
    $pdo = new PDO($dsn, $user, $pass);
    $stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND status = ?");
    $stmt->execute([$_GET['id'], 'active']); // 参数自动绑定，不参与 SQL 解析
} catch (PDOException $e) {
    // 不暴露敏感错误信息
}

• 占位符只能用于「值」，不能用于表名、字段名、ORDER BY 子句——这些必须白名单校验
• bindValue() 和 bindParam() 区别在于类型绑定时机，日常用 execute() 数组传参更安全直观
• 开启 PDO::ATTR_EMULATE_PREPARES = false，禁用模拟预处理，防止绕过

文件路径遍历：用白名单或 realpath() 校验根目录

当参数用于 file_get_contents()、include() 或 fopen() 时，../ 可能突破目录限制读取敏感文件。

• 禁止拼接用户输入到路径中：include('templates/' . $_GET['tpl'] . '.php') 是高危写法
• 若必须动态加载模板，用白名单：$allowed = ['home', 'about', 'contact']; if (!in_array($_GET['tpl'], $allowed)) die('Invalid template');
• 若需支持任意文件名（如下载日志），先用 basename($_GET['file']) 截取文件名，再拼路径；或用 realpath() 检查是否在允许目录内：

$target = realpath('/var/www/logs/' . $_GET['file']);
$allowed_root = '/var/www/logs/';
if ($target === false || strpos($target, $allowed_root) !== 0) {
    http_response_code(403);
    exit;
}

输出到 HTML：htmlspecialchars() 不是万能，但必须用

htmlspecialchars() 能防大部分 XSS，但它只处理 HTML 实体，不防 JavaScript 事件属性、CSS 表达式或 href="javascript:" 类型的注入。

• 始终指定 ENT_QUOTES 和字符集：htmlspecialchars($input, ENT_QUOTES, 'UTF-8')
• 输出到 JS 字符串时，不能只靠 htmlspecialchars()，要用 json_encode($input, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS)
• 输出到 HTML 属性值（如 value="= $val ?>"）时，确保 $val 已经过 htmlspecialchars()，否则闭合引号后可插入任意属性
• 富文本场景不能依赖过滤，应使用 HTMLPurifier 或严格白名单解析器

最常被忽略的一点：很多团队只防 SQL 和 XSS，却忘了 unserialize() 和 eval() 这类“参数驱动执行”的危险函数——只要参数可控，它们就是远程代码执行（RCE）的入口。这类调用应当彻底从生产代码中移除。

# mysql  # php  # css  # javascript  # java  # html  # js  # json  # cookie  # 编码  # 字节  # 区别 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel API路由如何设计_Laravel构建RESTful API的路由最佳实践  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  深入理解Android中的xmlns:tools属性  JavaScript如何实现倒计时_时间函数如何精确控制  html文件怎么打开证书错误_https协议的html打开提示不安全【指南】  制作ppt免费网站有哪些,有哪些比较好的ppt模板下载网站？  如何在自有机房高效搭建专业网站？  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  Laravel怎么配置S3云存储驱动_Laravel集成阿里云OSS或AWS S3存储桶【教程】  laravel怎么用DB facade执行原生SQL查询_laravel DB facade原生SQL执行方法  如何快速搭建安全的FTP站点？  制作电商网页,电商供应链怎么做？  Laravel Docker环境搭建教程_Laravel Sail使用指南  高配服务器限时抢购：企业级配置与回收服务一站式优惠方案  Win11怎么设置默认图片查看器_Windows11照片应用关联设置  如何利用DOS批处理实现定时关机操作详解  如何在阿里云香港服务器快速搭建网站？  Laravel如何使用Facades（门面）及其工作原理_Laravel门面模式与底层机制  制作公司内部网站有哪些,内网如何建网站？  如何在腾讯云免费申请建站？  如何有效防御Web建站篡改攻击？  Laravel如何自定义分页视图？（Pagination示例）  Swift中swift中的switch 语句  历史网站制作软件,华为如何找回被删除的网站？  西安专业网站制作公司有哪些,陕西省建行官方网站？  如何为不同团队 ID 动态生成多个独立按钮  谷歌Google入口永久地址_Google搜索引擎官网首页永久入口  Laravel如何处理CORS跨域请求？（配置示例）  Laravel如何实现API资源集合？（Resource Collection教程）  Laravel PHP版本要求一览_Laravel各版本环境要求对照  详解jQuery中的事件  Android实现代码画虚线边框背景效果  如何为不同团队 ID 动态生成多个非值班状态按钮  Android滚轮选择时间控件使用详解  谷歌浏览器如何更改浏览器主题 Google Chrome主题设置教程  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  Laravel Facade的原理是什么_深入理解Laravel门面及其工作机制  如何在阿里云域名上完成建站全流程？  Laravel怎么使用artisan命令缓存配置和视图  Laravel如何使用Blade模板引擎？（完整语法和示例）  图片制作网站免费软件,有没有免费的网站或软件可以将图片批量转为A4大小的pdf？  如何快速上传自定义模板至建站之星？  如何制作新型网站程序文件,新型止水鱼鳞网要拆除吗？  Laravel如何使用模型观察者？（Observer代码示例）  购物网站制作费用多少,开办网上购物网站，需要办理哪些手续？  Laravel如何使用Spatie Media Library_Laravel图片上传管理与缩略图生成【步骤】  Python数据仓库与ETL构建实战_Airflow调度流程详解  Chrome浏览器标签页分组怎么用_谷歌浏览器整理标签页技巧【效率】  PHP 500报错的快速解决方法  Linux网络带宽限制_tc配置实践解析【教程】