$_REQUEST不是特别危险。任何用户输入都可能是一种攻击,应该这样对待。对于任何输入媒介$_GET, $_POST, $_COOKIE, 使用适当的方法intval(), preg_match(), ... 来验证您收到的值是否符合您的预期。
例如,如果您需要一个文件名并打算将其发送给用户,请确保它不包含..,否则/用户将无法访问您的文件系统。
如果要在数据库中插入用户生成的值,请确保使用旧mysql_real_escape_string的或更好的 PDO 或 mysqli 准备语句转义值。