- 1 過濾器
- 1.1 簡介
- 1.2 函式和過濾器
- 1.2.1 方法說明
- 1.2.2 filter_var示例
- 1.2.3 filter_input示例
- 1.2.4 filter_var_array和filter_input_array示例
- 1.3 自定義過濾器
- 1.4 PHP Filter函式
1 過濾器
PHP
過濾器用於驗證和過濾來自非安全來源的資料,比如使用者的輸入。
1.1 簡介
PHP
過濾器用於驗證和過濾來自非安全來源的資料。
測試、驗證和過濾使用者輸入或自定義資料是任何 Web
應用程式的重要組成部分。
PHP
的過濾器擴充套件的設計目的是使資料過濾更輕鬆快捷。
使用過濾器原因:
幾乎所有的
Web
應用程式都依賴外部的輸入。這些資料通常來自使用者或其他應用程式(比如 web 服務)。透過使用過濾器,能夠確保應用程式獲得正確的輸入型別
應該始終對外部資料進行過濾,輸入過濾是最重要的應用程式安全課題之一。
那麼什麼是外部資料:
- 來自表單的輸入資料
- Cookies
- Web services data
- 伺服器變數
- 資料庫查詢結果
1.2 函式和過濾器
1.2.1 方法說明
如需過濾變數,請使用下面的過濾器函式之一:
filter_var($variable [, $filter = FILTER_DEFAULT [, $options ]])
:透過一個指定的過濾器來過濾單一的變數,函式用於獲取一個變數並對其進行過濾$variable
:要過濾的變數。$filter
:要使用的過濾器型別。預設為FILTER_DEFAULT
,這實際上不會進行任何過濾。$options
:(可選)指定過濾器選項
filter_var_array(引數同上)
:透過相同的或不同的過濾器來過濾多個變數filter_input($type , $variable_name [, $filter = FILTER_DEFAULT [, $options ]])
:獲取一個輸入變數,並對它進行過濾,用於從外部輸入源(如GET、POST、COOKIE、ENV、SERVER
等)獲取一個變數並對其進行過濾。這個函式通常用於處理透過HTTP
請求傳送的資料$type
:指定輸入型別。例如,INPUT_GET、INPUT_POST、INPUT_COOKIE
等。$variable_name
:要獲取的變數的名稱。$filter
:要使用的過濾器型別。預設為 FILTER_DEFAULT。$options
:(可選)指定過濾器選項
filter_input_array()
:獲取多個輸入變數,並透過相同的或不同的過濾器對它們進行過濾
1.2.2 filter_var示例
在下面的例項中,我們用 filter_var() 函式驗證了一個整數:
<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT))
{
echo("不是一個合法的整數");
}
else
{
echo("是個合法的整數");
}
?>
上面的程式碼使用了 FILTER_VALIDATE_INT
過濾器來過濾變數。
Validating 和 Sanitizing
兩種過濾器:
Validating
過濾器:
用於驗證使用者輸入
嚴格的格式規則(比如 URL 或 E-Mail 驗證)
如果成功則返回預期的型別,如果失敗則返回 FALSESanitizing
過濾器:
用於允許或禁止字串中指定的字元
無資料格式規則
始終返回字串
選項和標誌用於向指定的過濾器新增額外的過濾選項。
不同的過濾器有不同的選項和標誌。
在下面的例項中,我們用 filter_var()
和 min_range
以及 max_range
選項驗證了一個整數:
<?php
$var=300;
$int_options = array(
"options"=>array
(
"min_range"=>0,
"max_range"=>256
)
);
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
echo("不是一個合法的整數");
}
else
{
echo("是個合法的整數");
}
?>
就像上面的程式碼一樣,選項必須放入一個名為 options
的相關陣列中。如果使用標誌,則不需在陣列內。
1.2.3 filter_input示例
用 filter_input()
函式過濾輸入的資料。在下面的例項中,輸入變數 "email" 被傳到 PHP 頁面:
<?php
if(!filter_has_var(INPUT_GET, "email"))
{
echo("沒有 email 引數");
}
else
{
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
{
echo "不是一個合法的 E-Mail";
}
else
{
echo "是一個合法的 E-Mail";
}
}
?>
1.2.4 filter_var_array和filter_input_array示例
表單通常由多個輸入欄位組成。為了避免對 filter_var 或 filter_input
函式重複呼叫,我們可以使用 filter_var_array 或 the filter_input_array
函式。
在本例中,我們使用 filter_input_array() 函式來過濾三個 GET 變數。接收到的 GET 變數是一個名字、一個年齡以及一個 e-mail 地址:
<?php
$filters = array
(
"name" => array
(
"filter"=>FILTER_SANITIZE_STRING
),
"age" => array
(
"filter"=>FILTER_VALIDATE_INT,
"options"=>array
(
"min_range"=>1,
"max_range"=>120
)
),
"email"=> FILTER_VALIDATE_EMAIL
);
$result = filter_input_array(INPUT_GET, $filters);
if (!$result["age"])
{
echo("年齡必須在 1 到 120 之間。<br>");
}
elseif(!$result["email"])
{
echo("E-Mail 不合法<br>");
}
else
{
echo("輸入正確");
}
?>
例項解釋:
- 上面的例項有三個透過 "GET" 方法傳送的輸入變數 (name、age 和 email):
- 設定一個陣列,其中包含了輸入變數的名稱和用於指定的輸入變數的過濾器
- 呼叫
filter_input_array()
函式,引數包括 GET 輸入變數及剛才設定的陣列
檢測$result
變數中的 "age" 和 "email" 變數是否有非法的輸入。(如果存在非法輸入,在使用filter_input_array()
函式之後,輸入變數為 FALSE。)
filter_input_array()
函式的第二個引數可以是陣列或單一過濾器的 ID。
如果該引數是單一過濾器的 ID,那麼這個指定的過濾器會過濾輸入陣列中所有的值。
如果該引數是一個陣列,那麼此陣列必須遵循下面的規則:
- 必須是一個
關聯陣列
,其中包含的輸入變數是陣列的鍵(比如 "age" 輸入變數) - 此陣列的值必須是
過濾器的 ID
,或者是規定了過濾器、標誌和選項的陣列
1.3 自定義過濾器
透過使用 FILTER_CALLBACK
過濾器,可以呼叫自定義的函式,把它作為一個過濾器來使用。這樣,就擁有了資料過濾的完全控制權。
可以建立自己的自定義函式,也可以使用已存在的 PHP
函式。
將準備用到的過濾器的函式,按指定選項
的規定方法進行規定。在關聯陣列中,帶有名稱 options
。
在下面的例項中,使用了一個自定義的函式把所有 _
轉換為 .
:
<?php
function convertSpace($string)
{
return str_replace("_", ".", $string);
}
$string = "www_baidu_com!";
echo filter_var($string, FILTER_CALLBACK,array("options"=>"convertSpace"));
?>
例項解釋,上面的例項把所有 "_" 轉換成 "." :
- 建立一個把 "_" 替換為 "." 的函式
- 呼叫
filter_var()
函式,它的引數是FILTER_CALLBACK
過濾器以及包含函式的陣列
1.4 PHP Filter函式
函式 | 描述 |
---|---|
filter_has_var() | 檢查是否存在指定輸入型別的變數 |
filter_id() | 返回指定過濾器的 ID 號 |
filter_input() | 從指令碼外部獲取輸入,並進行過濾 |
filter_input_array() | 從指令碼外部獲取多項輸入,並進行過濾 |
filter_list() | 返回包含所有得到支援的過濾器的一個陣列 |
filter_var_array() | 獲取多個變數,並進行過濾 |
filter_var() | 獲取一個變數,並進行過濾 |
過濾器名稱
ID 名稱 | 描述 |
---|---|
FILTER_CALLBACK | 呼叫使用者自定義函式來過濾資料 |
FILTER_SANITIZE_STRING | 去除標籤,去除或編碼特殊字元 |
FILTER_SANITIZE_STRIPPED | "string" 過濾器的別名 |
FILTER_SANITIZE_ENCODED | URL-encode 字串,去除或編碼特殊字元 |
FILTER_SANITIZE_SPECIAL_CHARS | HTML 跳脫字元 '"<>& 以及 ASCII 值小於 32 的字元 |
FILTER_SANITIZE_EMAIL | 刪除所有字元,除了字母、數字以及 !#$%&'*+-/=?^_{|}~@.[] |
FILTER_SANITIZE_URL | 刪除所有字元,除了字母、數字以及 $-_.+!*'(),{}|\^~[]``<>#%";/?:@&= |
FILTER_SANITIZE_NUMBER_INT | 刪除所有字元,除了數字和 +- |
FILTER_SANITIZE_NUMBER_FLOAT | 刪除所有字元,除了數字、+- 以及 .,eE |
FILTER_SANITIZE_MAGIC_QUOTES | 應用 addslashes() |
FILTER_UNSAFE_RAW | 不進行任何過濾,去除或編碼特殊字元 |
FILTER_VALIDATE_INT | 把值作為整數來驗證 |
FILTER_VALIDATE_BOOLEAN | 把值作為布林選項來驗證。如果是 "1"、"true"、"on" 和 "yes",則返回 TRUE。如果是 "0"、"false"、"off"、"no" 和 "",則返回 FALSE。否則返回 NULL |
FILTER_VALIDATE_FLOAT | 把值作為浮點數來驗證 |
FILTER_VALIDATE_REGEXP | 根據 regexp(一種相容 Perl 的正規表示式)來驗證值 |
FILTER_VALIDATE_URL | 把值作為 URL 來驗證 |
FILTER_VALIDATE_EMAIL | 把值作為 e-mail 地址來驗證 |
FILTER_VALIDATE_IP | 把值作為 IP 地址來驗證,只限 IPv4 或 IPv6 或 不是來自私有或者保留的範圍 |