极客观点
项目管理
HarmonyOS
tp的I函数,可以对传参进行安全过滤。但是项目一直都是直接用的$_GET和$_POST来接值。 现在想统一替换为I接值。 需要改动的地方太多,想请问是否可以在基类控制器里,写一个赋值?例如:
if($_GET){
foreach ($_GET as $key => $value) {
$_GET[$key] = I("get.".$key);
}
}
if($_POST){
foreach ($_POST as $key => $value) {
$_POST[$key] = I("post.".$key);
}
}
请问这样写会不会引发一些意外问题?
看了一下,TP 3.2 也没说 I 函数可以防止 SQL 注入呐,I 函数默认也只是使用了
htmlspecialchars做了实体转换。正确的做法是应该正确使用预处理值填充的方式的,这样才能相对安全。
如果你坚持要这样做,你可以在根控制器的
_initialize方法中去做,这个方法在实例化控制器的时候会被调用。也可以用行为扩展