在以前，一個(gè)用戶通過(guò)網(wǎng)絡(luò)主要是獲取信息。而如今的網(wǎng)絡(luò)剛更注重與用戶的交互，用戶不再僅僅是網(wǎng)站的瀏覽者，也是網(wǎng)站內(nèi)容的制造者。由以前單純的“讀”向“寫(xiě)”以及“共同創(chuàng)作”發(fā)展，由被動(dòng)接收信息向主動(dòng)分行信息發(fā)展。而隨之而來(lái)的安全問(wèn)題也成了web開(kāi)發(fā)者不可忽視的問(wèn)題，驗(yàn)證第三方來(lái)源的數(shù)據(jù)成了每個(gè)web程序必不可少的功能。

在以前，PHP需要驗(yàn)證數(shù)據(jù)，一般都是程序員自己通過(guò)正則表達(dá)式實(shí)現(xiàn)，而從PHP從5.2開(kāi)始把原本的PCEL中的filter函數(shù)移到了內(nèi)置庫(kù)中，并做了不少?gòu)?qiáng)化，可以用這些函數(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)的過(guò)濾和驗(yàn)證。

數(shù)據(jù)來(lái)源及驗(yàn)證類型
PHP中的數(shù)據(jù)來(lái)源包含兩部分，其一是外部變量（如POST、GET、COOKIE等），還有一種是頁(yè)面內(nèi)部產(chǎn)生的數(shù)據(jù)。PHP針對(duì)這兩種數(shù)據(jù)類型分別定義了ilter_input_**和filter_var_**系列函數(shù)。而依據(jù)驗(yàn)證方法的不一樣又可以分為Validating和Sanitizing兩種。Validating用于驗(yàn)證數(shù)據(jù)，返回一個(gè)布爾值。Sanitizing則按規(guī)則過(guò)濾一些特定的字符，返回的是處理后的字符串。

簡(jiǎn)單用法
比如驗(yàn)證一個(gè)字符串是否是一個(gè)整數(shù)，在以往我們可以通過(guò)正則表達(dá)式或是is_numeric函數(shù)實(shí)現(xiàn)：


新的驗(yàn)證函數(shù)可以用以下方式：

$str = '51ab';
echo filter_var($str, FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';FILTER_VALIDATE_INT是PHP定義的一個(gè)過(guò)濾器，用于驗(yàn)證$str是否為一個(gè)整數(shù)。實(shí)際上這就是一個(gè)數(shù)值常量，通過(guò)echo FILTER_VALIDATE_INT;發(fā)現(xiàn)值為257。所以我們也可以用：

$str = '51ab';
echo filter_var($str, 257) ? 'is valid' : 'is not valid';PHP中定義了大量常用的過(guò)濾器，我們可以通過(guò)filter_list()獲得所有支持的過(guò)濾器名稱（用字符串表示），然后再用filter_id(string)獲取其數(shù)值：

print_r(filter_list()); // 所有支持的過(guò)濾器名稱。
echo '=========';
echo filter_id('int'); // 'int' 是filter_list返回的一個(gè)過(guò)濾器名稱。以上將輸入出類似以下內(nèi)容：

array(0=>int',1=>'boolean',2=>'float',3=>'validate_regexp')
==========
257Sanitizing過(guò)濾器
上面這個(gè)是驗(yàn)證數(shù)據(jù)格式是否正確，有時(shí)候過(guò)濾掉無(wú)關(guān)的內(nèi)容也是挺重要的。SANITIZE過(guò)濾提供了這種功能，比如過(guò)濾掉一個(gè)email中多余的字符：

$email = '<script>alert("test");</sript>xxx@caixw.com';
echo $email; // 直接輸出，將會(huì)執(zhí)行script腳本。
echo filter_var($email, FILTER_SANITIZE_EMAIL); // 會(huì)過(guò)濾掉<和>輸出scriptalerttestscriptxxx@caixw.com選項(xiàng)和標(biāo)志
filter_var的功能還不止于此，還可以指定第三個(gè)參數(shù)，附加一些特殊的選項(xiàng)，比如一個(gè)規(guī)定了最大值的整數(shù)：

上面將返回is not valid。因?yàn)閙ax_range規(guī)定其最大值只能為50。而FILTER_FLAG_ALLOW_OCTAL則允許驗(yàn)證的數(shù)據(jù)是一個(gè)八進(jìn)制的，也即是0開(kāi)頭的。

$options參數(shù)是一個(gè)數(shù)組，包含兩個(gè)元素：options和flags。若是只有flags元素，則也可以直接傳遞而不用數(shù)組。

驗(yàn)證外部數(shù)據(jù)
除了PHP腳本自己產(chǎn)生的數(shù)據(jù)，來(lái)自用戶提交的數(shù)據(jù)占大部分。當(dāng)然我們也可以直接用filter_var進(jìn)行過(guò)濾：

但是PHP中還專門提供了幾個(gè)函數(shù)用于驗(yàn)證外部來(lái)源的數(shù)據(jù)：

相較于filter_var，filter_input多了一個(gè)參數(shù)(第一個(gè)參數(shù))用于指定數(shù)據(jù)的來(lái)源。而filter_has_var()而用來(lái)判斷是否存在指定的數(shù)據(jù)。

一次過(guò)濾多個(gè)數(shù)據(jù)
PHP還提供了filter_var_array和filter_input_array函數(shù)用于一次性驗(yàn)證多個(gè)數(shù)據(jù)。

這是來(lái)自php.net上的一個(gè)實(shí)例，用于說(shuō)明filter_var_array()怎么使用。

自定義過(guò)濾器
可以通過(guò)傳遞一個(gè)特殊的過(guò)濾器FILTER_CALLBACK來(lái)指定一個(gè)自定義的過(guò)濾器，下面這個(gè)過(guò)濾器將把所有郵箱地址的＠轉(zhuǎn)換成＃。

其它

ID (過(guò)濾器常量)	名稱 (filter_list()函數(shù)返回的名稱)	可用選項(xiàng)	標(biāo)志位	描述
Validating
FILTER_VALIDATE_BOOLEAN	"boolean"		FILTER_NULL_ON_FAILURE	當(dāng)難的數(shù)據(jù)為"1","true","on","yes"時(shí)返回true，否則返回false。當(dāng)設(shè)置了FILTER_NULL_ON_FAILURE標(biāo)志位，則僅在值是"0","false","off","no", 和""是返回false，其它非true值返回null。
FILTER_VALIDATE_EMAIL	"validate_email"			驗(yàn)證郵箱
FILTER_VALIDATE_FLOAT	"float"	decimal	FILTER_FLAG_ALLOW_THOUSAND	驗(yàn)證浮點(diǎn)數(shù)
FILTER_VALIDATE_INT	"int"	min_range, max_range	FILTER_FLAG_ALLOW_OCTAL, FILTER_FLAG_ALLOW_HEX	驗(yàn)證一個(gè)指定范圍內(nèi)的整數(shù)值
FILTER_VALIDATE_IP	"validate_ip"		FILTER_FLAG_IPV4, FILTER_FLAG_IPV6, FILTER_FLAG_NO_PRIV_RANGE, FILTER_FLAG_NO_RES_RANGE	驗(yàn)證IP地址
FILTER_VALIDATE_REGEXP	"validate_regexp"	regexp		驗(yàn)證一個(gè)正則表達(dá)式
FILTER_VALIDATE_URL	"validate_url"		FILTER_FLAG_PATH_REQUIRED, FILTER_FLAG_QUERY_REQUIRED	驗(yàn)證一個(gè)URL
Sanitizing
FILTER_SANITIZE_EMAIL	"email"			移除除英文字符，數(shù)字以及!#$%&'*+-/=?^_`{|}~@.[]之外的字符。
FILTER_SANITIZE_ENCODED	"encoded"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH	URL編碼字符串，去除或編碼指定字符串。
FILTER_SANITIZE_MAGIC_QUOTES	"magic_quotes"			應(yīng)用 addslashes()函數(shù)
FILTER_SANITIZE_NUMBER_FLOAT	"number_float"		FILTER_FLAG_ALLOW_FRACTION, FILTER_FLAG_ALLOW_THOUSAND, FILTER_FLAG_ALLOW_SCIENTIFIC	移除除數(shù)字，+-以及.,eE以外的字符
FILTER_SANITIZE_NUMBER_INT	"number_int"			移除除數(shù)字以及+-以外的字符
FILTER_SANITIZE_SPECIAL_CHARS	"special_chars"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_HIGH	HTML轉(zhuǎn)義字符，'"&><以及 ASCII 值小于 32 的字符。以及其它指定的字符。
FILTER_SANITIZE_STRING	"string"		FILTER_FLAG_NO_ENCODE_QUOTES, FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	去除標(biāo)簽，或是去除或編碼指定的字符。
FILTER_SANITIZE_STRIPPED	"stripped"			Alias of "string" filter.
FILTER_SANITIZE_URL	"url"			刪除所有字符除字母、數(shù)字以及$-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=
FILTER_UNSAFE_RAW	"unsafe_raw"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	不做任何改變，或是按標(biāo)志位去除或是編碼指定字母。
FILTER_CALLBACK	"callback"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	自定義過(guò)濾器

標(biāo)志位

ID	可用的過(guò)濾器	描述
FILTER_FLAG_STRIP_LOW	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW	去除ASCII小于32的字符。
FILTER_FLAG_STRIP_HIGH	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW	去除ASCII在于127的字符。
FILTER_FLAG_ALLOW_FRACTION	FILTER_SANITIZE_NUMBER_FLOAT	允許小數(shù)點(diǎn)分隔符(.)
FILTER_FLAG_ALLOW_THOUSAND	FILTER_SANITIZE_NUMBER_FLOAT, FILTER_VALIDATE_FLOAT	允許千位分隔符(,)
FILTER_FLAG_ALLOW_SCIENTIFIC	FILTER_SANITIZE_NUMBER_FLOAT	允許科學(xué)計(jì)數(shù)法(e或E)。
FILTER_FLAG_NO_ENCODE_QUOTES	FILTER_SANITIZE_STRING	不編碼引號(hào)（單引號(hào)和雙引號(hào)）。
FILTER_FLAG_ENCODE_LOW	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼ASCII小于32的字符。
FILTER_FLAG_ENCODE_HIGH	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼ASCII大于127的字母。
FILTER_FLAG_ENCODE_AMP	FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼&符號(hào)。
FILTER_NULL_ON_FAILURE	FILTER_VALIDATE_BOOLEAN	返回null當(dāng)驗(yàn)證數(shù)據(jù)不是以下字符串時(shí)（yes,no,1,0,true,false,on,off）。
FILTER_FLAG_ALLOW_OCTAL	FILTER_VALIDATE_INT	允許八進(jìn)制數(shù)值（0開(kāi)頭）。
FILTER_FLAG_ALLOW_HEX	FILTER_VALIDATE_INT	允許16進(jìn)制數(shù)值。（0X或是0x開(kāi)頭）。
FILTER_FLAG_IPV4	FILTER_VALIDATE_IP	IP4格式字符串。
FILTER_FLAG_IPV6	FILTER_VALIDATE_IP	IP6格式字符串。
FILTER_FLAG_NO_PRIV_RANGE	FILTER_VALIDATE_IP	RFC指定的私域IP。IP4如下范圍10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16?；蚴荌P6以下開(kāi)頭的域: FD或FC
FILTER_FLAG_NO_RES_RANGE	FILTER_VALIDATE_IP	要求值不在保留的 IP 范圍內(nèi)。IPv4 ranges:0.0.0.0/8, 169.254.0.0/16,192.0.2.0/24 and 224.0.0.0/4。不能應(yīng)用于IP6。
FILTER_FLAG_PATH_REQUIRED	FILTER_VALIDATE_URL	要求URL包含路徑部分。
FILTER_FLAG_QUERY_REQUIRED	FILTER_VALIDATE_URL	要求URL查詢字符串。

最新評(píng)論