PHP基礎之過濾器講解

上善若泪發表於2024-06-22

目錄
  • 1 過濾器
    • 1.1 簡介
    • 1.2 函式和過濾器
      • 1.2.1 方法說明
      • 1.2.2 filter_var示例
      • 1.2.3 filter_input示例
      • 1.2.4 filter_var_array和filter_input_array示例
    • 1.3 自定義過濾器
    • 1.4 PHP Filter函式

1 過濾器

PHP 過濾器用於驗證和過濾來自非安全來源的資料,比如使用者的輸入。

1.1 簡介

PHP 過濾器用於驗證和過濾來自非安全來源的資料。
測試、驗證和過濾使用者輸入或自定義資料是任何 Web 應用程式的重要組成部分。
PHP 的過濾器擴充套件的設計目的是使資料過濾更輕鬆快捷。

使用過濾器原因:

幾乎所有的 Web 應用程式都依賴外部的輸入。這些資料通常來自使用者或其他應用程式(比如 web 服務)。透過使用過濾器,能夠確保應用程式獲得正確的輸入型別

應該始終對外部資料進行過濾,輸入過濾是最重要的應用程式安全課題之一。
那麼什麼是外部資料:

  • 來自表單的輸入資料
  • Cookies
  • Web services data
  • 伺服器變數
  • 資料庫查詢結果

1.2 函式和過濾器

1.2.1 方法說明

如需過濾變數,請使用下面的過濾器函式之一:

  • filter_var($variable [, $filter = FILTER_DEFAULT [, $options ]]):透過一個指定的過濾器來過濾單一的變數,函式用於獲取一個變數並對其進行過濾
    • $variable:要過濾的變數。
    • $filter:要使用的過濾器型別。預設為 FILTER_DEFAULT,這實際上不會進行任何過濾。
    • $options:(可選)指定過濾器選項
  • filter_var_array(引數同上):透過相同的或不同的過濾器來過濾多個變數
  • filter_input($type , $variable_name [, $filter = FILTER_DEFAULT [, $options ]]):獲取一個輸入變數,並對它進行過濾,用於從外部輸入源(如 GET、POST、COOKIE、ENV、SERVER 等)獲取一個變數並對其進行過濾。這個函式通常用於處理透過 HTTP 請求傳送的資料
    • $type:指定輸入型別。例如,INPUT_GET、INPUT_POST、INPUT_COOKIE 等。
    • $variable_name:要獲取的變數的名稱。
    • $filter:要使用的過濾器型別。預設為 FILTER_DEFAULT。
    • $options:(可選)指定過濾器選項
  • filter_input_array():獲取多個輸入變數,並透過相同的或不同的過濾器對它們進行過濾

1.2.2 filter_var示例

在下面的例項中,我們用 filter_var() 函式驗證了一個整數:

<?php
$int = 123;
 
if(!filter_var($int, FILTER_VALIDATE_INT))
{
    echo("不是一個合法的整數");
}
else
{
    echo("是個合法的整數");
}
?>

上面的程式碼使用了 FILTER_VALIDATE_INT 過濾器來過濾變數。

Validating 和 Sanitizing兩種過濾器:

  • Validating 過濾器:
    用於驗證使用者輸入
    嚴格的格式規則(比如 URL 或 E-Mail 驗證)
    如果成功則返回預期的型別,如果失敗則返回 FALSE
  • Sanitizing 過濾器:
    用於允許或禁止字串中指定的字元
    無資料格式規則
    始終返回字串

選項和標誌用於向指定的過濾器新增額外的過濾選項。
不同的過濾器有不同的選項和標誌。
在下面的例項中,我們用 filter_var()min_range 以及 max_range 選項驗證了一個整數:

<?php
$var=300;
 
$int_options = array(
    "options"=>array
    (
        "min_range"=>0,
        "max_range"=>256
    )
);
 
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
    echo("不是一個合法的整數");
}
else
{
    echo("是個合法的整數");
}
?>

就像上面的程式碼一樣,選項必須放入一個名為 options 的相關陣列中。如果使用標誌,則不需在陣列內。

1.2.3 filter_input示例

filter_input() 函式過濾輸入的資料。在下面的例項中,輸入變數 "email" 被傳到 PHP 頁面:

<?php
if(!filter_has_var(INPUT_GET, "email"))
{
    echo("沒有 email 引數");
}
else
{
    if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
    {
        echo "不是一個合法的 E-Mail";
    }
    else
    {
        echo "是一個合法的 E-Mail";
    }
}
?>

1.2.4 filter_var_array和filter_input_array示例

表單通常由多個輸入欄位組成。為了避免對 filter_var 或 filter_input 函式重複呼叫,我們可以使用 filter_var_array 或 the filter_input_array 函式。

在本例中,我們使用 filter_input_array() 函式來過濾三個 GET 變數。接收到的 GET 變數是一個名字、一個年齡以及一個 e-mail 地址:

<?php
$filters = array
(
    "name" => array
    (
        "filter"=>FILTER_SANITIZE_STRING
    ),
    "age" => array
    (
        "filter"=>FILTER_VALIDATE_INT,
        "options"=>array
        (
            "min_range"=>1,
            "max_range"=>120
        )
    ),
    "email"=> FILTER_VALIDATE_EMAIL
);
 
$result = filter_input_array(INPUT_GET, $filters);
 
if (!$result["age"])
{
    echo("年齡必須在 1 到 120 之間。<br>");
}
elseif(!$result["email"])
{
    echo("E-Mail 不合法<br>");
}
else
{
    echo("輸入正確");
}
?>

例項解釋:

  • 上面的例項有三個透過 "GET" 方法傳送的輸入變數 (name、age 和 email):
  • 設定一個陣列,其中包含了輸入變數的名稱和用於指定的輸入變數的過濾器
  • 呼叫 filter_input_array() 函式,引數包括 GET 輸入變數及剛才設定的陣列
    檢測 $result 變數中的 "age" 和 "email" 變數是否有非法的輸入。(如果存在非法輸入,在使用 filter_input_array() 函式之後,輸入變數為 FALSE。)

filter_input_array() 函式的第二個引數可以是陣列或單一過濾器的 ID。
如果該引數是單一過濾器的 ID,那麼這個指定的過濾器會過濾輸入陣列中所有的值。

如果該引數是一個陣列,那麼此陣列必須遵循下面的規則:

  • 必須是一個關聯陣列,其中包含的輸入變數是陣列的鍵(比如 "age" 輸入變數)
  • 此陣列的值必須是過濾器的 ID ,或者是規定了過濾器、標誌和選項的陣列

1.3 自定義過濾器

透過使用 FILTER_CALLBACK 過濾器,可以呼叫自定義的函式,把它作為一個過濾器來使用。這樣,就擁有了資料過濾的完全控制權。
可以建立自己的自定義函式,也可以使用已存在的 PHP 函式。

將準備用到的過濾器的函式,按指定選項的規定方法進行規定。在關聯陣列中,帶有名稱 options
在下面的例項中,使用了一個自定義的函式把所有 _ 轉換為 .

<?php
function convertSpace($string)
{
    return str_replace("_", ".", $string);
} 
$string = "www_baidu_com!";
echo filter_var($string, FILTER_CALLBACK,array("options"=>"convertSpace"));
?>

例項解釋,上面的例項把所有 "_" 轉換成 "." :

  • 建立一個把 "_" 替換為 "." 的函式
  • 呼叫 filter_var() 函式,它的引數是 FILTER_CALLBACK 過濾器以及包含函式的陣列

1.4 PHP Filter函式

函式 描述
filter_has_var() 檢查是否存在指定輸入型別的變數
filter_id() 返回指定過濾器的 ID 號
filter_input() 從指令碼外部獲取輸入,並進行過濾
filter_input_array() 從指令碼外部獲取多項輸入,並進行過濾
filter_list() 返回包含所有得到支援的過濾器的一個陣列
filter_var_array() 獲取多個變數,並進行過濾
filter_var() 獲取一個變數,並進行過濾

過濾器名稱

ID 名稱 描述
FILTER_CALLBACK 呼叫使用者自定義函式來過濾資料
FILTER_SANITIZE_STRING 去除標籤,去除或編碼特殊字元
FILTER_SANITIZE_STRIPPED "string" 過濾器的別名
FILTER_SANITIZE_ENCODED URL-encode 字串,去除或編碼特殊字元
FILTER_SANITIZE_SPECIAL_CHARS HTML 跳脫字元 '"<>& 以及 ASCII 值小於 32 的字元
FILTER_SANITIZE_EMAIL 刪除所有字元,除了字母、數字以及 !#$%&'*+-/=?^_{|}~@.[]
FILTER_SANITIZE_URL 刪除所有字元,除了字母、數字以及 $-_.+!*'(),{}|\^~[]``<>#%";/?:@&=
FILTER_SANITIZE_NUMBER_INT 刪除所有字元,除了數字和 +-
FILTER_SANITIZE_NUMBER_FLOAT 刪除所有字元,除了數字、+- 以及 .,eE
FILTER_SANITIZE_MAGIC_QUOTES 應用 addslashes()
FILTER_UNSAFE_RAW 不進行任何過濾,去除或編碼特殊字元
FILTER_VALIDATE_INT 把值作為整數來驗證
FILTER_VALIDATE_BOOLEAN 把值作為布林選項來驗證。如果是 "1"、"true"、"on" 和 "yes",則返回 TRUE。如果是 "0"、"false"、"off"、"no" 和 "",則返回 FALSE。否則返回 NULL
FILTER_VALIDATE_FLOAT 把值作為浮點數來驗證
FILTER_VALIDATE_REGEXP 根據 regexp(一種相容 Perl 的正規表示式)來驗證值
FILTER_VALIDATE_URL 把值作為 URL 來驗證
FILTER_VALIDATE_EMAIL 把值作為 e-mail 地址來驗證
FILTER_VALIDATE_IP 把值作為 IP 地址來驗證,只限 IPv4 或 IPv6 或 不是來自私有或者保留的範圍

相關文章