De l'entrée brute aux données sûres: le flux de travail définitif pour le superglobal $ _get de PHP

Traitez toujours $ \ _ obtenir des données comme non fiables; 2. Vérifiez si le paramètre existe en utilisant ISSET () ou Null Coalesming; 3. Sensibilisez-vous en fonction du type attendu - Filtre d'utilisation \ _validate \ _int pour les entiers, htmlSpecialCars () pour les chaînes et filtre \ _validate \ _boolean pour les booléens; 4. Valider contre la logique métier, tels que les valeurs autorisées ou les contraintes de plage; 5. Échappez la sortie de manière appropriée pour le contexte (par exemple, htmlSpecialChars () pour HTML, instructions préparées pour SQL); 6. Ne jamais passer les données sensibles via $ \ _ Get et utilisez toujours HTTPS; 7. Mettre en œuvre les contrôles de longueur des entrées et la limitation des taux pour prévenir les abus; Le flux de travail complet garantit que les entrées brutes $ \ _ sont transformées en données sûres et fiables en filtrant l'entrée, en échappant à la sortie et en supposant que toutes les entrées sont potentiellement malveillantes.

La gestion de la saisie des utilisateurs en toute sécurité est l'un des aspects les plus critiques du développement Web. Parmi les superglobals de PHP, $_GET est fréquemment utilisé pour récupérer les données des paramètres d'URL, mais c'est également un point d'entrée courant pour les vulnérabilités de sécurité s'il n'est pas géré correctement. Ce guide vous guide à travers un flux de travail définitif et réel pour transformer l'entrée RAW $_GET en données sûres et utilisables.

1. Supposons toujours que $_GET n'est pas fiable

La première règle: ne traitez jamais les données $_GET comme sûres par défaut . Toute valeur provenant de l'URL peut être manipulée par les utilisateurs ou les attaquants. Même si vos liens sont générés côté serveur, les utilisateurs peuvent modifier manuellement la chaîne de requête.

Par exemple:

 https://example.com/user.php?id=5

Quelqu'un pourrait le changer en:

 https://example.com/user.php?id=999 'ou' 1 '=' 1

C'est pourquoi la validation et la désinfection ne sont pas négociables.

2. Vérifiez si le paramètre existe

Avant d'accéder à un paramètre $_GET , vérifiez toujours qu'il existe pour éviter les avis d'index non définis.

 if (isset ($ _ get ['id'])) {
    $ raw_id = $ _get ['id'];
} autre {
    // gérer le paramètre manquant
    mourir («id est requis»);
}

Alternativement, utilisez une coalescence nulle pour une syntaxe plus propre:

 $ raw_id = $ _get ['id'] ?? nul;

Si $raw_id est null , vous pouvez rediriger, afficher une erreur ou appliquer un défaut.

3. Désiciation en fonction du type de données attendu

Une fois que vous savez que le paramètre existe, désinfectez-les en fonction du type de données que vous attendez.

Pour les entiers:

Utilisez filter_var() avec FILTER_SANITIZE_NUMBER_INT . Mais mieux encore, validez avec FILTER_VALIDATE_INT si vous avez besoin d'une vérification de type strict.

 $ id = filter_var ($ _ get ['id'], filter_validate_int);

if ($ id === false) {
    Die ('ID non valide');
}

Remarque: FILTER_SANITIZE_NUMBER_INT ne garantit pas un entier - il supprime des caractères non valides mais laisse des chaînes comme 123abc comme 123 . Utilisez la validation lorsque l'intégrité du type est importante.

Pour les chaînes:

Coupez l'espace et les strip-tease ou échappent aux personnages dangereux en fonction du contexte.

 $ Search = Trim ($ _ get ['q'] ?? '');
$ search = filter_var ($ search, filter_sanitize_string, filter_flag_strip_low);

Évitez FILTER_SANITIZE_STRING dans PHP 8.1 (déprécié), alors envisagez le nettoyage manuel:

 $ search = htmlSpecialChars (Trim ($ _ get ['q'] ?? ''), ent_quotes, 'utf-8');

Cela prépare la chaîne pour la sortie en HTML, empêchant les XS.

Pour les booléens:

 $ active = filter_var ($ _ get ['active'] ?? '', filter_validate_boolean);

Renvoie true pour "1", "true", "on", etc.

4. Valider contre la logique commerciale

La désinfection ne suffit pas. Vous devez valider si les données ont du sens dans le contexte.

Par exemple, si vous attendez un numéro de page:

 $ page = filter_var ($ _ get ['page'] ?? 1, filter_validate_int, [
    'Options' => ['Default' => 1, 'min_range' => 1, 'max_range' => 1000]
]));

Ou valider contre les valeurs autorisées:

 $ tri = $ _get ['tri'] ?? 'nom';
$ allowing_sorts = ['name', 'date', 'prix'];
$ tri = in_array ($ srie, $ allowing_sorts)? $ SORT: 'NAME';

5. Échapper à la sortie de manière appropriée

Même après l'entrée désinfectée, la sortie d'échappement en fonction du contexte:

• Sortie HTML : htmlspecialchars()
• Requêtes SQL : utilisez des instructions préparées (jamais concaténé)
• Javascript / json : json_encode() Échappement approprié
• URL : urlencode() pour les paramètres

Exemple avec HTML:

 Echo &#39;<h1> Recherche:&#39;. htmlSpecialChars ($ search, ent_quotes, &#39;utf-8&#39;). &#39;</h1>&#39;;

Exemple avec PDO (SQL):

 $ stmt = $ PDO-> Préparer ("SELECT * dans les utilisateurs où id =?");
$ stmt-> exécuter ([$ id]);

6. Utilisez HTTPS et évitez les données sensibles dans $_GET

Ne passez jamais de données sensibles (jetons, mots de passe, PII) via des chaînes de requête. Ils sont connectés dans les journaux des serveurs, l'historique du navigateur et les en-têtes de références.

Utilisez à la place $_POST ou Sessions.

Assurez-vous également que votre site utilise HTTPS pour chiffrer les données en transit.

7. Réglez les limites et les gaz si nécessaire

Pour les critères de terminaison publics en utilisant $_GET , considérez la limitation des taux ou les restrictions de longueur d'entrée pour prévenir les abus.

 if (strlen ($ _ get ['q'] ?? '')> 100) {
    Die («Recherchez la requête trop longue»);
}

Résumé du flux de travail

Voici le flux de travail sûr complet:

• ✅ Vérifiez si la clé existe: $_GET['key'] ?? null
• ✅ désinfecter en fonction du type (int, string, bool)
• ✅ Valider contre le format attendu et les règles commerciales
• ✅ Échappez avant la sortie ou utilisation dans les requêtes
• ✅ Évitez les données sensibles dans les URL
• ✅ Utilisez HTTPS et surveillez les abus

L'utilisation $_GET n'a pas besoin d'être risqué. Avec un flux de travail discipliné - synchronisant, validant et échappant - vous transformez une entrée brute et dangereuse en données sûres et fiables. La clé est de ne jamais sauter des étapes, même pour les paramètres «simples».

Fondamentalement: filtrez l'entrée, la sortie d'échappement et supposons que chaque valeur $_GET est sortie pour vous proposer.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!