php中preg_match过滤URL非法参数程序

作者：袖梨 2022-06-25

PHP开发中经常用到URL传递参数，对传递的参数要进行安全过滤，过滤URL中非法参数，这是php安全的一个细小的地方，却事关安全的大事。URL参数一般都是数字或者字母加上”-“或者”_”组成，参数带有其他的符号的都要进行过滤，以免带来安全问题。对URL传参进行非法字符过滤，用preg_match很容易判断非法的参数。

代码如下	复制代码
if(!preg_match("/^[a-z0-9_＼-]+$/i",$this->commentid)) $this->_show_msg(L('illegal_parameters'));

这里$this->commentid就是从URL中$_GET方式传递过来的参数，接收URL$_GET方式传递的参数的时候也要进行处理，如：

代码如下	复制代码
$this->commentid = isset($_GET['commentid']) && trim(urldecode($_GET['commentid'])) ? trim(urldecode($_GET['commentid'])) : $this->_show_msg(L('illegal_parameters'));

PHP开发安全问题不容忽视，这些很细小的问题很简单就可以处理，但是容易倏忽。很多的漏洞都是从这里找到的。