php – 使用$_GET和$_POST

SELECT stuff FROM ... WHERE eventID = ($_GET["ID"] ? $_GET["ID"] : $_POST["ID"])

>清理数据库输入. mysql_real_escape_string()是一种快速简便的方法(或者,如果ID始终是数字,则可以使用 intval()).不要像 Bobby Tables那样倒下的学校.
>如果您不确定使用了哪种请求方法,请使用$_REQUEST超全局,它包含GET和POST变量(例如：$_REQUEST [‘ID’]).我通常不使用$_REQUEST,因为我想清楚我的数据来自哪里,但这是一个完美的使用方式.

正如Nick Presta所指出的,$_REQUEST还包含cookie变量,事实上,名称冲突的默认*优先顺序是$_COOKIE,$_POST,然后是$_GET.鉴于此,在将数据插入查询之前,您可以执行您现在正在执行的操作,也可以使用$_SERVER [‘REQUEST_METHOD’]代替：

// You can use mysql_real_escape_string() instead if you want
$id = ($_SERVER['REQUEST_METHOD'] == 'POST') ? intval($_POST['id']) : intval($_GET['id']);

此外,正如outis所指出的,请记住,您可以选择使用prepared statements而不仅仅是原始SQL查询.

* – 正如Stewart在评论中提到的那样,通过variables_order配置指令的顺序是configurable.