程序会统一处理外部接收的数据,$_GET,$_POST,为了防止注入,关于注入也是永恒的话题了
$_GET
$_POST
框架内的代码是在源头直接转换成安全的字符串,如果确实需要原始字符串,用的时候再转换回来
其中id,_p(分页码),_npp(每页数量)都会被强制转换成int
注意:$_FILES中文件名并不会被转换
//lp.core.php if(1) {//处理从外部来的输入的get和post数据 if($_GET) { array_walk($_GET,function(&$item) { $item=htmlentity_encode(trim($item)); }); if(isset($_GET['id'])) { $_GET['id']=intval($_GET['id']); } if(isset($_GET['_p'])) {//分页/当前页数,从0计数 $_GET['_p']=intval($_GET['_p']); } if(isset($_GET['_npp'])) {//分页/每页数量 $_GET['_npp']=intval($_GET['_npp']); } } if($_POST) { array_walk_recursive($_POST,function(&$item) { $item=htmlentity_encode(trim($item)); }); if(isset($_POST['id'])) { $_POST['id']=intval($_POST['id']); } } }