我想知道在以下场景中是否存在可能的代码注入(或任何其他安全风险,如读取您不应该使用的内存块等等),其中来自HTTP GET的未经过处理的数据用于代码中

PHP作为数组的键.

这应该将字母转换为字母顺序. a到1,b到2,c到3 …. HTTP GET“字母”变量应该有值字母,但是你可以理解任何东西都可以发送到服务器：

HTML：

http://www.example.com/index.php?letter=[anything in here, as dirty it can gets]

PHP：

$dirty_data = $_GET['letter'];

echo "Your letter's order in alphabet is:".Letter2Number($dirty_data);

function Letter2Number($my_array_key)

{

$alphabet = array("a" => "1", "b" => "2", "c" => "3");

// And now we will eventually use HTTP GET unsanitized data

// as a KEY for a PHP array... Yikes!

return $alphabet[$my_array_key];

}

问题：

>您是否看到任何安全风险？

>如何清理HTTP数据以便能够在代码中将它们用作数组的KEY？

>这种做法有多糟糕？