例如,你需要在将外部输入包含在 HTML 中或者插入到原始的 SQL 请求之前对它进行过滤。当你使用 PDO 中的限制参数功能时,它会自动为你完成过滤的工作。
有些时候你可能需要允许一些安全的 HTML 标签输入进来并被包含在输出的 HTML 页面中,但这实现起来并不容易。尽管有一些像 HTML Purifier 的白名单类库为了这个原因而出现,实际上更多的人通过使用其他更加严格的格式限制方式例如使用 Markdown 或 BBCode 来避免出现问题。
使用 unserialize() 从用户或者其他不可信的渠道中提取数据是非常危险的事情。这样做会触发恶意实例化对象(包含用户定义的属性),即使对象没用被使用,也会触发运行对象的析构函数。所以你应该避免从不可信渠道反序列化数据。
如果你必须这样做,请你使用 PHP 7 的 allowed_classes 选项来限制反序列化的对象类型。
验证是来确保外部输入的是你所想要的内容。比如,你也许需要在处理注册申请时验证 E-Mail 地址、手机号码或者年龄等信息的有效性。