PHP基礎之過濾器講解

目錄

• 1 過濾器
  • 1.1 簡介
  • 1.2 函式和過濾器
    • 1.2.1 方法說明
    • 1.2.2 filter_var示例
    • 1.2.3 filter_input示例
    • 1.2.4 filter_var_array和filter_input_array示例
  • 1.3 自定義過濾器
  • 1.4 PHP Filter函式

1 過濾器

PHP 過濾器用於驗證和過濾來自非安全來源的資料，比如使用者的輸入。

1.1 簡介

PHP 過濾器用於驗證和過濾來自非安全來源的資料。
測試、驗證和過濾使用者輸入或自定義資料是任何 Web 應用程式的重要組成部分。
PHP 的過濾器擴充套件的設計目的是使資料過濾更輕鬆快捷。

使用過濾器原因：

幾乎所有的 Web 應用程式都依賴外部的輸入。這些資料通常來自使用者或其他應用程式（比如 web 服務）。透過使用過濾器，能夠確保應用程式獲得正確的輸入型別

應該始終對外部資料進行過濾，輸入過濾是最重要的應用程式安全課題之一。
那麼什麼是外部資料：

• 來自表單的輸入資料
• Cookies
• Web services data
• 伺服器變數
• 資料庫查詢結果

1.2 函式和過濾器

1.2.1 方法說明

如需過濾變數，請使用下面的過濾器函式之一：

• filter_var($variable [, $filter = FILTER_DEFAULT [, $options ]])：透過一個指定的過濾器來過濾單一的變數，函式用於獲取一個變數並對其進行過濾
  • $variable：要過濾的變數。
  • $filter：要使用的過濾器型別。預設為 FILTER_DEFAULT，這實際上不會進行任何過濾。
  • $options：(可選）指定過濾器選項
• filter_var_array(引數同上)：透過相同的或不同的過濾器來過濾多個變數
• filter_input($type , $variable_name [, $filter = FILTER_DEFAULT [, $options ]])：獲取一個輸入變數，並對它進行過濾，用於從外部輸入源（如 GET、POST、COOKIE、ENV、SERVER 等）獲取一個變數並對其進行過濾。這個函式通常用於處理透過 HTTP 請求傳送的資料
  • $type：指定輸入型別。例如，INPUT_GET、INPUT_POST、INPUT_COOKIE 等。
  • $variable_name：要獲取的變數的名稱。
  • $filter：要使用的過濾器型別。預設為 FILTER_DEFAULT。
  • $options：（可選）指定過濾器選項
• filter_input_array()：獲取多個輸入變數，並透過相同的或不同的過濾器對它們進行過濾

1.2.2 filter_var示例

在下面的例項中，我們用 filter_var() 函式驗證了一個整數：

<?php
$int = 123;
 
if(!filter_var($int, FILTER_VALIDATE_INT))
{
    echo("不是一個合法的整數");
}
else
{
    echo("是個合法的整數");
}
?>

上面的程式碼使用了 FILTER_VALIDATE_INT 過濾器來過濾變數。

Validating 和 Sanitizing兩種過濾器：

• Validating 過濾器：
  用於驗證使用者輸入
  嚴格的格式規則（比如 URL 或 E-Mail 驗證）
  如果成功則返回預期的型別，如果失敗則返回 FALSE
• Sanitizing 過濾器：
  用於允許或禁止字串中指定的字元
  無資料格式規則
  始終返回字串

選項和標誌用於向指定的過濾器新增額外的過濾選項。
不同的過濾器有不同的選項和標誌。
在下面的例項中，我們用 filter_var() 和 min_range 以及 max_range 選項驗證了一個整數：

<?php
$var=300;
 
$int_options = array(
    "options"=>array
    (
        "min_range"=>0,
        "max_range"=>256
    )
);
 
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
    echo("不是一個合法的整數");
}
else
{
    echo("是個合法的整數");
}
?>

就像上面的程式碼一樣，選項必須放入一個名為 options 的相關陣列中。如果使用標誌，則不需在陣列內。

1.2.3 filter_input示例

用 filter_input() 函式過濾輸入的資料。在下面的例項中，輸入變數 "email" 被傳到 PHP 頁面：

<?php
if(!filter_has_var(INPUT_GET, "email"))
{
    echo("沒有 email 引數");
}
else
{
    if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
    {
        echo "不是一個合法的 E-Mail";
    }
    else
    {
        echo "是一個合法的 E-Mail";
    }
}
?>

1.2.4 filter_var_array和filter_input_array示例

表單通常由多個輸入欄位組成。為了避免對 filter_var 或 filter_input 函式重複呼叫，我們可以使用 filter_var_array 或 the filter_input_array 函式。

在本例中，我們使用 filter_input_array() 函式來過濾三個 GET 變數。接收到的 GET 變數是一個名字、一個年齡以及一個 e-mail 地址：

<?php
$filters = array
(
    "name" => array
    (
        "filter"=>FILTER_SANITIZE_STRING
    ),
    "age" => array
    (
        "filter"=>FILTER_VALIDATE_INT,
        "options"=>array
        (
            "min_range"=>1,
            "max_range"=>120
        )
    ),
    "email"=> FILTER_VALIDATE_EMAIL
);
 
$result = filter_input_array(INPUT_GET, $filters);
 
if (!$result["age"])
{
    echo("年齡必須在 1 到 120 之間。<br>");
}
elseif(!$result["email"])
{
    echo("E-Mail 不合法<br>");
}
else
{
    echo("輸入正確");
}
?>

例項解釋：

• 上面的例項有三個透過 "GET" 方法傳送的輸入變數 (name、age 和 email)：
• 設定一個陣列，其中包含了輸入變數的名稱和用於指定的輸入變數的過濾器
• 呼叫 filter_input_array() 函式，引數包括 GET 輸入變數及剛才設定的陣列
  檢測 $result 變數中的 "age" 和 "email" 變數是否有非法的輸入。（如果存在非法輸入，在使用 filter_input_array() 函式之後，輸入變數為 FALSE。）

filter_input_array() 函式的第二個引數可以是陣列或單一過濾器的 ID。
如果該引數是單一過濾器的 ID，那麼這個指定的過濾器會過濾輸入陣列中所有的值。

如果該引數是一個陣列，那麼此陣列必須遵循下面的規則：

• 必須是一個關聯陣列，其中包含的輸入變數是陣列的鍵（比如 "age" 輸入變數）
• 此陣列的值必須是過濾器的 ID ，或者是規定了過濾器、標誌和選項的陣列

1.3 自定義過濾器

透過使用 FILTER_CALLBACK 過濾器，可以呼叫自定義的函式，把它作為一個過濾器來使用。這樣，就擁有了資料過濾的完全控制權。
可以建立自己的自定義函式，也可以使用已存在的 PHP 函式。

將準備用到的過濾器的函式，按指定選項的規定方法進行規定。在關聯陣列中，帶有名稱 options。
在下面的例項中，使用了一個自定義的函式把所有 _ 轉換為 .：

<?php
function convertSpace($string)
{
    return str_replace("_", ".", $string);
} 
$string = "www_baidu_com!";
echo filter_var($string, FILTER_CALLBACK,array("options"=>"convertSpace"));
?>

例項解釋，上面的例項把所有 "_" 轉換成 "." ：

• 建立一個把 "_" 替換為 "." 的函式
• 呼叫 filter_var() 函式，它的引數是 FILTER_CALLBACK 過濾器以及包含函式的陣列

1.4 PHP Filter函式

函式	描述
filter_has_var()	檢查是否存在指定輸入型別的變數
filter_id()	返回指定過濾器的 ID 號
filter_input()	從指令碼外部獲取輸入，並進行過濾
filter_input_array()	從指令碼外部獲取多項輸入，並進行過濾
filter_list()	返回包含所有得到支援的過濾器的一個陣列
filter_var_array()	獲取多個變數，並進行過濾
filter_var()	獲取一個變數，並進行過濾

過濾器名稱

ID 名稱	描述
FILTER_CALLBACK	呼叫使用者自定義函式來過濾資料
FILTER_SANITIZE_STRING	去除標籤，去除或編碼特殊字元
FILTER_SANITIZE_STRIPPED	"string" 過濾器的別名
FILTER_SANITIZE_ENCODED	URL-encode 字串，去除或編碼特殊字元
FILTER_SANITIZE_SPECIAL_CHARS	HTML 跳脫字元 '"<>& 以及 ASCII 值小於 32 的字元
FILTER_SANITIZE_EMAIL	刪除所有字元，除了字母、數字以及 !#$%&'*+-/=?^_{|}~@.[]
FILTER_SANITIZE_URL	刪除所有字元，除了字母、數字以及 $-_.+!*'(),{}|\^~[]``<>#%";/?:@&=
FILTER_SANITIZE_NUMBER_INT	刪除所有字元，除了數字和 +-
FILTER_SANITIZE_NUMBER_FLOAT	刪除所有字元，除了數字、+- 以及 .,eE
FILTER_SANITIZE_MAGIC_QUOTES	應用 addslashes()
FILTER_UNSAFE_RAW	不進行任何過濾，去除或編碼特殊字元
FILTER_VALIDATE_INT	把值作為整數來驗證
FILTER_VALIDATE_BOOLEAN	把值作為布林選項來驗證。如果是 "1"、"true"、"on" 和 "yes"，則返回 TRUE。如果是 "0"、"false"、"off"、"no" 和 ""，則返回 FALSE。否則返回 NULL
FILTER_VALIDATE_FLOAT	把值作為浮點數來驗證
FILTER_VALIDATE_REGEXP	根據 regexp（一種相容 Perl 的正規表示式）來驗證值
FILTER_VALIDATE_URL	把值作為 URL 來驗證
FILTER_VALIDATE_EMAIL	把值作為 e-mail 地址來驗證
FILTER_VALIDATE_IP	把值作為 IP 地址來驗證，只限 IPv4 或 IPv6 或 不是來自私有或者保留的範圍