PHP是一門非常靈活和強大的編程語言，它支持各種各樣的輸入方式來讀取用戶提交的數據。然而，不是所有的輸入方式都是安全和可靠的，有一些輸入方式甚至被認為是危險的，需要避免使用。本文將重點介紹幾種被視為危險的PHP輸入方式并提供一些替代方案。

$_REQUEST 和 $_GLOBALS

$_REQUEST 和 $_GLOBALS是兩個經常被使用的全局變量，它們都可以用來讀取用戶輸入的數據。$_REQUEST包含了 GET、POST 和 COOKIE 請求方式的輸入數據，而 $_GLOBALS 包含了全局變量的所有值。然而，使用這兩個變量是一個非常差的習慣。因為它們的值被認為是不可控制的，并且可能已經被惡意修改了。為了避免這種情況，我們應該使用更安全的替代方案，如 $_GET、$_POST 和 $_COOKIE。

// 不推薦使用
$sql = "SELECT * FROM `users` WHERE `id`= '{$_GLOBALS['id']}'";
// 推薦使用
$id = intval($_GET['id']);
$sql = "SELECT * FROM `users` WHERE `id`= '$id'";

直接讀取 URL 參數

在 URL 中傳遞參數并不是什么新鮮的事情，常見的用法是將參數通過 GET 請求方式發送到服務器。然而，直接讀取 URL 參數是危險的，因為這種方式可能會導致注入攻擊。為了避免這種攻擊，我們應該對 URL 參數進行處理，例如使用 URL 編碼和解碼功能，或者使用其他方式來處理這些參數。另外，我們還可以采用一些已經被廣泛使用的方案來避免這種風險，例如使用 REST 風格的 URL，或者使用哈希值來驗證 URL。

// 不安全的做法
$id = $_GET['id'];
$sql = "SELECT * FROM `users` WHERE `id`= '$id'";
// 安全的做法
$id = intval($_GET['id']);
$sql = "SELECT * FROM `users` WHERE `id`= '$id'";

直接讀取上傳文件

上傳文件是常見的網站功能，可以幫助用戶上傳圖片、視頻和其他文件。然而，上傳文件也存在一些風險。例如，文件可能包含惡意代碼或病毒，通過直接讀取上傳文件，攻擊者可以輕松地在你的服務器上執行腳本并損壞你的系統。因此，我們應該使用更可靠的方式來讀取上傳文件，例如使用 PHP 的文件上傳類或使用第三方庫。

// 不安全的做法
$file = $_FILES['image']['tmp_name'];
$imageData = file_get_contents($file);
// 安全的做法
$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file);

總結

在 PHP 開發中，我們應該時刻保持警覺，避免使用危險的輸入方式。如果有必要使用這些輸入方式，一定要進行數據驗證和過濾，保證數據的安全性。最好的辦法是使用已經被驗證的輸入處理器，如 HTML Purifier、Input Filter 等。掌握這些技巧，我們可以編寫更安全和可靠的代碼，為網站和客戶提供更好的保障。