PHP 過濾器用于驗(yàn)證和過濾來自非安全來源的數(shù)據(jù),比如用戶的輸入需曾。
PHP 過濾器:
PHP過濾器用于驗(yàn)證和過濾來自非安全來源的數(shù)據(jù)糠雨。
驗(yàn)證和過濾用戶輸入或自定義數(shù)據(jù)是任何web應(yīng)用程序的重要組成部分。
設(shè)計PHP的過濾器擴(kuò)展的目的是使數(shù)據(jù)過濾更輕松快捷亮垫。
為何使用使用過濾器羔沙?
1)幾乎所有web應(yīng)用程序都依賴外部的輸入躺涝。這些數(shù)據(jù)通常來自用戶或其他應(yīng)用程序(比如web服務(wù))。通過使用過濾器扼雏,你可以確保應(yīng)有程序獲得正確的輸入類型坚嗜。
2)你應(yīng)該始終對外部數(shù)據(jù)進(jìn)行過濾!// 這個是規(guī)范
3)輸入過濾是最重要的應(yīng)用程序安全課題之一诗充。
什么是外部數(shù)據(jù)苍蔬?
- 來自表單的輸入數(shù)據(jù)
- cookies
- 服務(wù)器變量
- 數(shù)據(jù)庫查詢結(jié)果
函數(shù)和過濾器
過濾變量的方式, 可以任選下面的過濾器函數(shù)之一:
- filter_var() 通過一個指定的過濾器來過濾單一的變量
- filter_var_array() 通過相同的或者不同的過濾器來過濾多個變量
- filter_input() 獲取一個輸入變量蝴蜓,并對它進(jìn)行過濾
- filter_input_array 獲取多個輸入變量银室,并通過相同的或者不同的過濾器對它們進(jìn)行過濾
例子:我們使用filter_var()函數(shù)驗(yàn)證了一個整數(shù):
<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT)) {
echo ("Integer is not valid");
}else {
echo ("Integer is valid");
}
?>
上面的代碼使用了"FILTER_VALIDATE_INT"過濾器來過濾變量。
由于這個整數(shù)是合法的励翼,因此代碼的輸出是:"Integer is valid"
有2種過濾器:
Validating 和 Sanitizing
Validating 過濾器:
- 用于驗(yàn)證用戶輸入
- 嚴(yán)格的格式規(guī)則(比如URL 或 E-Mail 驗(yàn)證)
- 如果成功則返回預(yù)期的類型,如果失敗則返回FALSE
Sanitizing 過濾器:
- 用于允許或禁止字符串中指定的字符
- 無數(shù)據(jù)格式規(guī)則
- 始終返回字符串
選項(xiàng)和標(biāo)志
選項(xiàng)和標(biāo)志用于向指定的過濾器添加額外的過濾選項(xiàng)辜荠。
不同的過濾器有不同的選項(xiàng)和標(biāo)志汽抚。
eg:我們使用filter_var()和min_range以及max_range選項(xiàng)驗(yàn)證一個整數(shù):
<?php
$var = 300;
$int_options = arrar(
"min_range" => 0,
"max_range" => 256
);
?>
if (!filter_var($var, FILTER_VALIDATE_NT, $int_options)) {
echo ("Integer is not valid");
}else {
echo ("Integer is valid");
}
驗(yàn)證輸入
讓我們試著驗(yàn)證來自表單的輸入。
我們需要做的第一件事就是確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)伯病。
然后我們用filter_input() 函數(shù)過濾輸入的數(shù)據(jù)造烁。
輸入變量email被傳到php頁面:
<?php
if(!filter_has_var(INPUT_GET, "email")){
echo ("Input type does not exists");
}else {
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL)) {
echo "E-Mail is not valid";
}else {
}
}
?>
例子解釋:有一個通過“GET”方法傳送的輸入變量(email):
1)檢測是否存在GET類型的email輸入變量
2)如果存在輸入變量否过,檢測它是否有效的郵件地址
凈化輸入
試著清理一下表單傳來的URL。
首先惭蟋,我們要確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)苗桂。
然后,我們用filter_input()函數(shù)來凈化輸入數(shù)據(jù)告组。
<?php
if(!filter_has_var(INPUT_POST, "url"))
{
echo("Input type does not exist");
}
else
{
$url = filter_input(INPUT_POST, "url", FILTER_SANITIZE_URL);
}
?>
sanitize: 使...無害
檢測是否存在POST類型的url輸入變量.
如果穿在此輸入變量煤伟,對其進(jìn)行凈化(刪除非法字符),并將其存儲在$url變量中
假如輸入變量類似這樣:"http://www.W3非o法ol.com.c字符n/"木缝,則凈化后的 $url 變量應(yīng)該是這樣的:
http://www.W3School.com.cn/
過濾多個輸入
表單通常由多個輸入字段組成便锨。為了避免對filter_var或者filter_input重復(fù)調(diào)用,我們可以使用filter_var_array或者thefilter_input_array函數(shù)我碟。
eg:使用filter_inpup_array()函數(shù)來過濾三個GET變量放案。接受到的GET變量是一個名字,一個年齡以及一個郵件地址矫俺。
<?php
$filter=arrar(
"name" => array(
"filter"=>FILTER_SANITIZE_STRING
),
"age"=> array(
"filter"=>FILTER_VALIDATE_INT,
"options"=>array(
"min_range"=>1,
"max_range"=>120
)
),
"email"=>FILTER_VALIDATE_EMAIL
);
?>
$result = filter_input_array(INPUT_GET, $filters);
if (!$result["age"]) {
echo("Age must be a number between 1 and 120.<br>");
}elseif(!$result["email"]){
echo("E-mail is not valid");
}else {
echo("User input is valid");
}
使用Filter Callback
通過使用FILTER_CALLBACK 過濾器吱殉,可以調(diào)用自定義的函數(shù),吧它作為一個過濾器來使用厘托。這樣我們就擁有了數(shù)據(jù)過濾器的完全控制權(quán)友雳。
可以自定義函數(shù),也可以使用已經(jīng)有的PHP函數(shù)催烘。
規(guī)定你準(zhǔn)備用到過濾器函數(shù)的方法沥阱,與規(guī)定選項(xiàng)的方法相同。
eg:使用一個自定義的函數(shù)吧所有的_轉(zhuǎn)換為空格:
<?php
function convertUnderlineToSpace($string){
return str_replace("_", " ", $string);
}
$string = "Peter_is_a_great_guy!";
echo filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace"));
?>
