[PHP] 如何保護Querystring？

David Walsh的文章：Tips for Protecting Querystring Keys & Values in PHP，建議了以下五種保護Querystring參數和值的方法：

1. 整數需指定資料型態（Typecast Value when Expecting Numbers）：確保整數不會被當成字串而造成錯誤。

$id = (int) $_GET['i'];

2. 淨化輸入值（Sanitize Input）：建立各種類型資料的處理函式，確保資料傳遞時的一致性與安全性。類似在Dreamweaver裡面的GetSQLValueString函式。
3. 關閉REGISTER_GLOBALS（Make Sure REGISTER_GLOBALS is Off）。
4. 不使用有意義的變數名稱（Don’t Make Variable Names Meaningful）：David原本的建議如下，但是有一位仁兄在回應中則持反對的意見，認為這並無助於安全性（還是可以從數值的一致性猜出變數的意義）。

<!-- no! -->
<a href="/profile.php?user_id=<?php echo $user_id; ?>">Your Profile</a>
<!-- yes! -->
<a href="/profile.php?q=<?php echo $user_id; ?>">Your Profile</a>

5. 將數值加密（Encrypt Querystring Values）：使用md5來加密參數值。

<a href="/profile.php?i=<?php echo md5($user_id); ?>">Click here</a>

最後，請問有人知道「Querystring」的中文怎麼翻譯嗎？

可能的相關文章：

• coComment新手須知
• The 3-Click Rule
• 「按這裡」不是個好主意，但也沒多壞

這篇文章發表於 May 28th, 2008 ，分類為：Webdev，並且加上了以下的標籤：php, programming。你可以訂閱這篇文章的回應：RSS 2.0，也歡迎發表你的意見，或者從你的網站 Trackback 過來。