获取 GET/POST 参数时，直接去除其前后得空格，会有什么隐患？

以 PHP 为例，假定：有 getParam($name) 方法返回 $_GET[$name] 的值。

如果我在这个方法里，对所有 $_GET 值都直接做 trim 处理，会产生怎样的隐患呢？

Ps：不传递空值、NULL、true/false。

MMTTMM

浏览 518回答 5

呼啦一阵风

如果指的是安全隐患？我觉得没有安全隐患。但是我不建议你这么做，我就是要传空格+字母呢。看使用场景，如果你在写一个通用的方法，比如你在写一个框架通用的方法，是不是要 trim 就交给使用者自己来决定吧。你只是写一个业务逻辑 controller 里的方法，我觉得没问题。

小怪兽爱吃肉

一般情况下是要过滤掉的，因为如果参数里面带空格很多的话可能后面有更多未知的bug；即使你要传空格也行啊转成实体标签，我觉得没什么安全隐患，如果你非要保留空格可以具体按照你的业务逻辑来考虑

慕桂英3389331

一般来说使用是没有隐患的，要有的话，就是你的业务逻辑里面会出现空格，因为trim()的本身默认就是去除左右空格、tab 等空的

慕哥9229398

如果只是$_GET的话没有隐患，而且非常支持这样做！

ibeautiful

我平常就是这么做的，这不是什么安全隐患，而是必要的过滤。

随时随地看视频慕课网APP