最稳妥的做法是用 filter_input()——它专为处理外部输入设计,天然支持默认值和类型过滤,如 filter_input(input_get, 'page', filter_sanitize_number_int, ['options' => ['default' => 1]])。
PHP 中如何安全获取并设置 $_GET 参数的默认值
直接用 $_GET['key'] 会触发 Notice: Undefined index,而用 isset() 或 array_key_exists() 判断再赋值又啰嗦。最稳妥的做法是用 filter_input() —— 它专为处理外部输入设计,天然支持默认值和类型过滤。
-
filter_input(INPUT_GET, 'page', FILTER_SANITIZE_NUMBER_INT, ['options' => ['default' => 1]]):获取page,非数字时转为 0,缺失或为空时返回 1 - 避免用
$_GET['page'] ?? 1:PHP 7.0+ 虽语法简洁,但不校验类型,恶意传入page=abc仍会得到字符串"abc",后续参与计算可能出错 - 如果必须用空合并(
??),至少补一层类型转换:(int)($_GET['page'] ?? 1),但注意(int)'1abc'会得 1,仍有风险
为什么不用 $_GET + $defaults 数组合并?
有人习惯写 $params = $_GET + ['limit' => 20, 'sort' => 'id'];,看似简单,但隐患明显:
-
+是左优先合并,$_GET中值为null、false或空字符串时,不会被默认值覆盖(例如?limit=传空字符串,$params['limit']就是'',不是 20) - 无法区分“参数未传”和“参数传了但值为空”,而业务中这两者常需不同处理
- 没有类型约束,
sort=123这种非法值照单全收
处理布尔型 GET 参数(如 ?active=1 或 ?debug)
布尔参数没有统一约定,常见形式有 debug=1、debug=true、?debug(无值)。用 filter_input() 配合 FILTER_VALIDATE_BOOLEAN 最可靠:
$debug = filter_input(INPUT_GET, 'debug', FILTER_VALIDATE_BOOLEAN, [
'options' => ['default' => false]
]);
// ?debug → true;?debug=1 / ?debug=true / ?debug=on → true;其他(含未传)→ false
别用 !empty($_GET['debug']):它把 ?debug=0 也判为 true,不符合直觉。
立即学习“PHP免费学习笔记(深入)”;
需要兼容老项目且不能改入口逻辑时的兜底方案
若框架或路由已把 $_GET 覆盖、或代码分散难以统一改造,可封装一个轻量函数:
function get($key, $default = null, $filter = FILTER_UNSAFE_RAW) {
$val = filter_input(INPUT_GET, $key, $filter, ['options' => ['default' => $default]]);
return $val === null ? $default : $val;
}
// 用法:$page = get('page', 1, FILTER_SANITIZE_NUMBER_INT);
注意 FILTER_UNSAFE_RAW 不做任何过滤,适合需要原始字符串的场景;但只要涉及输出到 HTML,必须额外调用 htmlspecialchars(),这点极易遗漏。
