1. 什么是 php 過(guò)濾器？

php 過(guò)濾器用于驗(yàn)證和過(guò)濾來(lái)自非安全來(lái)源的數(shù)據(jù)。

測(cè)試、驗(yàn)證和過(guò)濾用戶輸入或自定義數(shù)據(jù)是任何 web 應(yīng)用程序的重要組成部分。

php 的過(guò)濾器擴(kuò)展的設(shè)計(jì)目的是使數(shù)據(jù)過(guò)濾更輕松快捷。

2. 為什么使用過(guò)濾器？

幾乎所有的 web 應(yīng)用程序都依賴外部的輸入。這些數(shù)據(jù)通常來(lái)自用戶或其他應(yīng)用程序（比如 web 服務(wù)）。通過(guò)使用過(guò)濾器，您能夠確保應(yīng)用程序獲得正確的輸入類型。

您應(yīng)該始終對(duì)外部數(shù)據(jù)進(jìn)行過(guò)濾！

輸入過(guò)濾是最重要的應(yīng)用程序安全課題之一。

什么是外部數(shù)據(jù)？

• 來(lái)自表單的輸入數(shù)據(jù)
• cookies
• web services data
• 服務(wù)器變量
• 數(shù)據(jù)庫(kù)查詢結(jié)果

3. 函數(shù)和過(guò)濾器

如需過(guò)濾變量，請(qǐng)使用下面的過(guò)濾器函數(shù)之一：

• filter_var() - 通過(guò)一個(gè)指定的過(guò)濾器來(lái)過(guò)濾單一的變量
• filter_var_array() - 通過(guò)相同的或不同的過(guò)濾器來(lái)過(guò)濾多個(gè)變量
• filter_input - 獲取一個(gè)輸入變量，并對(duì)它進(jìn)行過(guò)濾
• filter_input_array - 獲取多個(gè)輸入變量，并通過(guò)相同的或不同的過(guò)濾器對(duì)它們進(jìn)行過(guò)濾

在下面的范例中，我們用 filter_var() 函數(shù)驗(yàn)證了一個(gè)整數(shù)：

<?php
$int = 123;
 
if(!filter_var($int, filter_validate_int))
{
    echo("不是一個(gè)合法的整數(shù)");
}
else
{
    echo("是個(gè)合法的整數(shù)");
}
?>

上面的代碼使用了 "filter_validate_int" 過(guò)濾器來(lái)過(guò)濾變量。由于這個(gè)整數(shù)是合法的，因此上面的代碼將輸出：

如果我們嘗試使用一個(gè)非整數(shù)的變量（比如 "123abc"），則將輸出："integer is not valid"。

4. validating 和 sanitizing

有兩種過(guò)濾器：

validating 過(guò)濾器：

• 用于驗(yàn)證用戶輸入
• 嚴(yán)格的格式規(guī)則（比如 url 或 e-mail 驗(yàn)證）
• 如果成功則返回預(yù)期的類型，如果失敗則返回 false

sanitizing 過(guò)濾器：

• 用于允許或禁止字符串中指定的字符
• 無(wú)數(shù)據(jù)格式規(guī)則
• 始終返回字符串

5. 選項(xiàng)和標(biāo)志

選項(xiàng)和標(biāo)志用于向指定的過(guò)濾器添加額外的過(guò)濾選項(xiàng)。

不同的過(guò)濾器有不同的選項(xiàng)和標(biāo)志。

在下面的范例中，我們用 filter_var() 和 "min_range" 以及 "max_range" 選項(xiàng)驗(yàn)證了一個(gè)整數(shù)：

<?php
$var=300;
 
$int_options = array(
    "options"=>array
    (
        "min_range"=>0,
        "max_range"=>256
    )
);
 
if(!filter_var($var, filter_validate_int, $int_options))
{
    echo("不是一個(gè)合法的整數(shù)");
}
else
{
    echo("是個(gè)合法的整數(shù)");
}
?>

就像上面的代碼一樣，選項(xiàng)必須放入一個(gè)名為 "options" 的相關(guān)數(shù)組中。如果使用標(biāo)志，則不需在數(shù)組內(nèi)。

由于整數(shù)是 "300"，它不在指定的范圍內(nèi)，以上代碼的輸出將是：

不是一個(gè)合法的整數(shù)

6. 驗(yàn)證輸入

讓我們?cè)囍?yàn)證來(lái)自表單的輸入。

我們需要做的第一件事情是確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)。

然后我們用 filter_input() 函數(shù)過(guò)濾輸入的數(shù)據(jù)。

在下面的范例中，輸入變量 "email" 被傳到 php 頁(yè)面：

<?php
if(!filter_has_var(input_get, "email"))
{
    echo("沒(méi)有 email 參數(shù)");
}
else
{
    if (!filter_input(input_get, "email", filter_validate_email))
    {
        echo "不是一個(gè)合法的 e-mail";
    }
    else
    {
        echo "是一個(gè)合法的 e-mail";
    }
}
?>

以上范例測(cè)試結(jié)果如下：

范例解釋:

上面的范例有一個(gè)通過(guò) "get" 方法傳送的輸入變量 (email)：

7. 凈化輸入

讓我們?cè)囍謇硪幌聫谋韱蝹鱽?lái)的 url。

首先，我們要確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)。

然后，我們用 filter_input() 函數(shù)來(lái)凈化輸入數(shù)據(jù)。

在下面的范例中，輸入變量 "url" 被傳到 php 頁(yè)面：

<?php
if(!filter_has_var(input_get, "url"))
{
    echo("沒(méi)有 url 參數(shù)");
}
else
{
    $url = filter_input(input_get, 
    "url", filter_sanitize_url);
    echo $url;
}
?>

范例解釋:

上面的范例有一個(gè)通過(guò) "get" 方法傳送的輸入變量 (url)：

假如輸入變量是一個(gè)類似這樣的字符串："http://www.ru??no??ob.com/"，則凈化后的 $url 變量如下所示：

8. 過(guò)濾多個(gè)輸入

表單通常由多個(gè)輸入字段組成。為了避免對(duì) filter_var 或 filter_input 函數(shù)重復(fù)調(diào)用，我們可以使用 filter_var_array 或 the filter_input_array 函數(shù)。

在本例中，我們使用 filter_input_array() 函數(shù)來(lái)過(guò)濾三個(gè) get 變量。接收到的 get 變量是一個(gè)名字、一個(gè)年齡以及一個(gè) e-mail 地址：

<?php
$filters = array
(
    "name" => array
    (
        "filter"=>filter_sanitize_string
    ),
    "age" => array
    (
        "filter"=>filter_validate_int,
        "options"=>array
        (
            "min_range"=>1,
            "max_range"=>120
        )
    ),
    "email"=> filter_validate_email
);
 
$result = filter_input_array(input_get, $filters);
 
if (!$result["age"])
{
    echo("年齡必須在 1 到 120 之間。<br>");
}
elseif(!$result["email"])
{
    echo("e-mail 不合法<br>");
}
else
{
    echo("輸入正確");
}
?>

范例解釋:

上面的范例有三個(gè)通過(guò) "get" 方法傳送的輸入變量 (name、age 和 email)：

filter_input_array() 函數(shù)的第二個(gè)參數(shù)可以是數(shù)組或單一過(guò)濾器的 id。

如果該參數(shù)是單一過(guò)濾器的 id，那么這個(gè)指定的過(guò)濾器會(huì)過(guò)濾輸入數(shù)組中所有的值。

如果該參數(shù)是一個(gè)數(shù)組，那么此數(shù)組必須遵循下面的規(guī)則：

• 必須是一個(gè)關(guān)聯(lián)數(shù)組，其中包含的輸入變量是數(shù)組的鍵（比如 "age" 輸入變量）
• 此數(shù)組的值必須是過(guò)濾器的 id ，或者是規(guī)定了過(guò)濾器、標(biāo)志和選項(xiàng)的數(shù)組

9. 使用 filter callback

通過(guò)使用 filter_callback 過(guò)濾器，可以調(diào)用自定義的函數(shù)，把它作為一個(gè)過(guò)濾器來(lái)使用。這樣，我們就擁有了數(shù)據(jù)過(guò)濾的完全控制權(quán)。

您可以創(chuàng)建自己的自定義函數(shù)，也可以使用已存在的 php 函數(shù)。

將您準(zhǔn)備用到的過(guò)濾器的函數(shù)，按指定選項(xiàng)的規(guī)定方法進(jìn)行規(guī)定。在關(guān)聯(lián)數(shù)組中，帶有名稱 "options"。

在下面的范例中，我們使用了一個(gè)自定義的函數(shù)把所有 "_" 轉(zhuǎn)換為 "."：

<?php
function convertspace($string)
{
    return str_replace("_", ".", $string);
}
 
$string = "www_yapf_com!";
 
echo filter_var($string, filter_callback,
array("options"=>"convertspace"));
?>

范例解釋

上面的范例把所有 "_" 轉(zhuǎn)換成 "." ：