据我所知,检查先决条件是一种很好的做法.如果一个方法需要一个int值,那么使用这样的东西是一个很好的解决方案:
public function sum($input1, $input2) {
if (!is_int($input1)) throw new Exception('Input must be a integer');
但是在查看Zend / Codeigniter的源代码后,我不经常看到这样的检查.是否有一个原因 ?
解决方法:
因为在使用它之前测试每个变量是困难/低效的.相反,他们只检查输入变量 – 检查门口的访客,而不是一次在屋内.
在使用它们之前测试至少更重要的变量当然是一种很好的防御性编程技术,特别是如果输入来自很多地方.
这有点偏离主题,但我建议的解决方案是测试输入变量,如下所示:
$username=get('username', 'string');
$a=get('a', 'int');
...
永远不应该使用$_REQUEST和类似的东西(甚至可以直接访问).
此外,在进行HTML输出时,您应该始终使用:
echo html($username); // replaces '<' with '<' - uses htmlentities
为了避免sql注入攻击,可以使用MeekroDB,但遗憾的是它非常有限(仅限MysqL,仅限单个数据库,……).它有一个很好的API,虽然促进安全,所以我建议检查出来.
对于我自己,我已经构建了一个基于PDO的小型DB库,并使用预处理语句.因人而异.