PHP是一種非常流行的服務器端腳本語言，常用于編寫動態網頁和服務器端應用程序。其中，輸入（input）在Web開發中顯得極其重要。無論是網頁表單還是后臺系統的用戶輸入，都需要考慮輸入的合法性、安全性以及處理方式。因此，本文將詳細介紹PHP中輸入的相關知識和應用。 一、GET和POST請求 通常我們使用GET和POST請求來獲取用戶輸入數據。GET請求常用于獲取數據，而POST請求則常用于提交數據。在PHP中獲取GET請求參數非常簡單。例如，以下代碼可以獲取URL中的參數id并輸出：

<?php
$id = $_GET['id'];
echo 'ID: '.$id;
?>

類似地，使用POST請求則需要通過超級全局變量$_POST來獲取。以下代碼可以輸出表單中輸入框的值：

<form action="form.php" method="POST">
<input type="text" name="username">
<input type="submit" value="Submit">
</form>
<?php
$username = $_POST['username'];
echo 'Username: '.$username;
?>

二、過濾用戶輸入 用戶輸入數據本身是不可靠的，因此需要對其進行過濾。在PHP中，可以使用filter_input函數對用戶輸入進行過濾。例如，以下代碼可以過濾掉用戶輸入的HTML標簽：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
echo 'Username: '.$username;

其中，第一個參數指定輸入的類型（可以是INPUT_GET或INPUT_POST），第二個參數指定輸入的名稱，第三個參數指定要應用的過濾器。 另外，PHP還提供了一些常見的過濾器，例如：

// 過濾掉非數字字符
$age = filter_input(INPUT_POST, 'age', FILTER_SANITIZE_NUMBER_INT);
// 過濾掉用戶輸入的腳本代碼
$text = filter_input(INPUT_POST, 'text', FILTER_SANITIZE_SPECIAL_CHARS);
// 檢查用戶輸入是否是郵箱地址
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

三、防范SQL注入 SQL注入是一種常見的攻擊方式，其基本原理是在SQL語句中注入惡意代碼，以從數據庫中獲取敏感信息或執行非法操作。在PHP中，可以通過預處理語句和綁定參數的方式來防范SQL注入。以下代碼可以查詢ID為1的用戶信息：

$stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
$stmt->bindParam(':id', $id);
$stmt->execute();
$user = $stmt->fetch();

在上述代碼中，$stmt是一個PDOStatement對象，使用prepare方法可以創建一個預處理語句。bindParam方法可以將參數綁定到預處理語句中的變量，以防止注入攻擊。execute方法執行預處理語句。 四、防范跨站腳本攻擊 跨站腳本攻擊（XSS）是一種常見的攻擊方式，其基本原理是在網頁中插入惡意腳本代碼，以獲取用戶信息或執行一些危險的操作。在PHP中，可以通過htmlspecialchars函數來防范XSS攻擊。例如，以下代碼可以將用戶輸入的文本進行轉義：

$text = $_POST['text'];
echo htmlspecialchars($text);

五、總結 輸入是Web開發中非常重要的一環，需要注意數據的合法性和安全性。在PHP中，可以使用GET和POST請求獲取用戶輸入，使用filter_input函數過濾用戶輸入，使用預處理語句和綁定參數防范SQL注入，使用htmlspecialchars函數防范XSS攻擊。以上是一些基本的知識和應用，希望可以幫助初學者更好地理解和應用PHP中的輸入相關知識。