我正在构建一个搜索页面,并且我有些不确定我应该如何清理和验证用户输入。验证用户输入(搜索过滤器)
搜索页面具有通过querystrings传递的过滤器。 (一些从输入和其他链接复选框/收音机行为通过)
在这种情况下我应该注意什么?我可以安全使用preg_replace(全部除外)并逃脱吗?
另外 - 我需要做任何事情(用户输入)在把它们放入链接之前?我应该添加另一个查询来检索可能的值,循环遍历结果并排除那些未找到的用户输入? (防止链接附加用户可能已经放入的虚假过滤器选项。虽然不会影响与更改的url的用户?)
我不知道它是否重要,但一些过滤器传递querystrings是数组。
您认为如何?我对此很陌生,我很感激帮助。谢谢!