php 過濾器實現(xiàn)代碼
更新時間:2010年08月09日 23:10:42 作者:
在以前,PHP需要驗證數(shù)據,一般都是程序員自己通過正則表達式實現(xiàn),而從PHP從5.2開始把原本的PCEL中的filter函數(shù)移到了內置庫中,并做了不少強化,可以用這些函數(shù)實現(xiàn)對數(shù)據的過濾和驗證。
在以前,一個用戶通過網絡主要是獲取信息。而如今的網絡剛更注重與用戶的交互,用戶不再僅僅是網站的瀏覽者,也是網站內容的制造者。由以前單純的“讀”向“寫”以及“共同創(chuàng)作”發(fā)展,由被動接收信息向主動分行信息發(fā)展。而隨之而來的安全問題也成了web開發(fā)者不可忽視的問題,驗證第三方來源的數(shù)據成了每個web程序必不可少的功能。
在以前,PHP需要驗證數(shù)據,一般都是程序員自己通過正則表達式實現(xiàn),而從PHP從5.2開始把原本的PCEL中的filter函數(shù)移到了內置庫中,并做了不少強化,可以用這些函數(shù)實現(xiàn)對數(shù)據的過濾和驗證。
數(shù)據來源及驗證類型
PHP中的數(shù)據來源包含兩部分,其一是外部變量(如POST、GET、COOKIE等),還有一種是頁面內部產生的數(shù)據。PHP針對這兩種數(shù)據類型分別定義了ilter_input_**和filter_var_**系列函數(shù)。而依據驗證方法的不一樣又可以分為Validating和Sanitizing兩種。Validating用于驗證數(shù)據,返回一個布爾值。Sanitizing則按規(guī)則過濾一些特定的字符,返回的是處理后的字符串。
簡單用法
比如驗證一個字符串是否是一個整數(shù),在以往我們可以通過正則表達式或是is_numeric函數(shù)實現(xiàn):
$str = '51ab';
preg_match('/^[0-9]*$/', $str);
is_numeric($str);
新的驗證函數(shù)可以用以下方式:
$str = '51ab';
echo filter_var($str, FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';FILTER_VALIDATE_INT是PHP定義的一個過濾器,用于驗證$str是否為一個整數(shù)。實際上這就是一個數(shù)值常量,通過echo FILTER_VALIDATE_INT;發(fā)現(xiàn)值為257。所以我們也可以用:
$str = '51ab';
echo filter_var($str, 257) ? 'is valid' : 'is not valid';PHP中定義了大量常用的過濾器,我們可以通過filter_list()獲得所有支持的過濾器名稱(用字符串表示),然后再用filter_id(string)獲取其數(shù)值:
print_r(filter_list()); // 所有支持的過濾器名稱。
echo '=========';
echo filter_id('int'); // 'int' 是filter_list返回的一個過濾器名稱。以上將輸入出類似以下內容:
array(0=>int',1=>'boolean',2=>'float',3=>'validate_regexp')
==========
257Sanitizing過濾器
上面這個是驗證數(shù)據格式是否正確,有時候過濾掉無關的內容也是挺重要的。SANITIZE過濾提供了這種功能,比如過濾掉一個email中多余的字符:
$email = '<script>alert("test");</sript>xxx@caixw.com';
echo $email; // 直接輸出,將會執(zhí)行script腳本。
echo filter_var($email, FILTER_SANITIZE_EMAIL); // 會過濾掉<和>輸出scriptalerttestscriptxxx@caixw.com選項和標志
filter_var的功能還不止于此,還可以指定第三個參數(shù),附加一些特殊的選項,比如一個規(guī)定了最大值的整數(shù):
$options = array(
'options'=>array('max_range'=>50),
'flags'=>FILTER_FLAG_ALLOW_OCTAL,
);
$str = '51';
echo filter_var($str, FILTER_VALIDATE_INT, $options) ? 'is valid' : 'is not valid';
上面將返回is not valid。因為max_range規(guī)定其最大值只能為50。而FILTER_FLAG_ALLOW_OCTAL則允許驗證的數(shù)據是一個八進制的,也即是0開頭的。
$options參數(shù)是一個數(shù)組,包含兩個元素:options和flags。若是只有flags元素,則也可以直接傳遞而不用數(shù)組。
驗證外部數(shù)據
除了PHP腳本自己產生的數(shù)據,來自用戶提交的數(shù)據占大部分。當然我們也可以直接用filter_var進行過濾:
if(isset($_GET['age']))
{
echo filter_var($_GET['age'], FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}
但是PHP中還專門提供了幾個函數(shù)用于驗證外部來源的數(shù)據:
if(filter_has_var(INPUT_GET, 'age'))
{
echo filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}
相較于filter_var,filter_input多了一個參數(shù)(第一個參數(shù))用于指定數(shù)據的來源。而filter_has_var()而用來判斷是否存在指定的數(shù)據。
一次過濾多個數(shù)據
PHP還提供了filter_var_array和filter_input_array函數(shù)用于一次性驗證多個數(shù)據。
這是來自php.net上的一個實例,用于說明filter_var_array()怎么使用。
$data = array(
'product_id' => 'libgd<script>',
'component' => '10',
'versions' => '2.0.33',
'testscalar' => array('2', '23', '10', '12'),
'testarray' => '2',
);
$args = array(
'product_id' => FILTER_SANITIZE_ENCODED,
'component' => array('filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options' => array('min_range' => 1, 'max_range' => 10)
),
'versions' => FILTER_SANITIZE_ENCODED,
'doesnotexist' => FILTER_VALIDATE_INT,
'testscalar' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_REQUIRE_SCALAR,
),
'testarray' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
)
);
$myinputs = filter_var_array($data, $args);
自定義過濾器
可以通過傳遞一個特殊的過濾器FILTER_CALLBACK來指定一個自定義的過濾器,下面這個過濾器將把所有郵箱地址的@轉換成#。
function fun($value)
{
return strtr($value,'@','#');
}
$var = filter_var('abc@caixw.com', FILTER_CALLBACK, array('options' => 'fun'));
echo $var;
在以前,PHP需要驗證數(shù)據,一般都是程序員自己通過正則表達式實現(xiàn),而從PHP從5.2開始把原本的PCEL中的filter函數(shù)移到了內置庫中,并做了不少強化,可以用這些函數(shù)實現(xiàn)對數(shù)據的過濾和驗證。
數(shù)據來源及驗證類型
PHP中的數(shù)據來源包含兩部分,其一是外部變量(如POST、GET、COOKIE等),還有一種是頁面內部產生的數(shù)據。PHP針對這兩種數(shù)據類型分別定義了ilter_input_**和filter_var_**系列函數(shù)。而依據驗證方法的不一樣又可以分為Validating和Sanitizing兩種。Validating用于驗證數(shù)據,返回一個布爾值。Sanitizing則按規(guī)則過濾一些特定的字符,返回的是處理后的字符串。
簡單用法
比如驗證一個字符串是否是一個整數(shù),在以往我們可以通過正則表達式或是is_numeric函數(shù)實現(xiàn):
復制代碼 代碼如下:
$str = '51ab';
preg_match('/^[0-9]*$/', $str);
is_numeric($str);
新的驗證函數(shù)可以用以下方式:
$str = '51ab';
echo filter_var($str, FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';FILTER_VALIDATE_INT是PHP定義的一個過濾器,用于驗證$str是否為一個整數(shù)。實際上這就是一個數(shù)值常量,通過echo FILTER_VALIDATE_INT;發(fā)現(xiàn)值為257。所以我們也可以用:
$str = '51ab';
echo filter_var($str, 257) ? 'is valid' : 'is not valid';PHP中定義了大量常用的過濾器,我們可以通過filter_list()獲得所有支持的過濾器名稱(用字符串表示),然后再用filter_id(string)獲取其數(shù)值:
print_r(filter_list()); // 所有支持的過濾器名稱。
echo '=========';
echo filter_id('int'); // 'int' 是filter_list返回的一個過濾器名稱。以上將輸入出類似以下內容:
array(0=>int',1=>'boolean',2=>'float',3=>'validate_regexp')
==========
257Sanitizing過濾器
上面這個是驗證數(shù)據格式是否正確,有時候過濾掉無關的內容也是挺重要的。SANITIZE過濾提供了這種功能,比如過濾掉一個email中多余的字符:
$email = '<script>alert("test");</sript>xxx@caixw.com';
echo $email; // 直接輸出,將會執(zhí)行script腳本。
echo filter_var($email, FILTER_SANITIZE_EMAIL); // 會過濾掉<和>輸出scriptalerttestscriptxxx@caixw.com選項和標志
filter_var的功能還不止于此,還可以指定第三個參數(shù),附加一些特殊的選項,比如一個規(guī)定了最大值的整數(shù):
復制代碼 代碼如下:
$options = array(
'options'=>array('max_range'=>50),
'flags'=>FILTER_FLAG_ALLOW_OCTAL,
);
$str = '51';
echo filter_var($str, FILTER_VALIDATE_INT, $options) ? 'is valid' : 'is not valid';
上面將返回is not valid。因為max_range規(guī)定其最大值只能為50。而FILTER_FLAG_ALLOW_OCTAL則允許驗證的數(shù)據是一個八進制的,也即是0開頭的。
$options參數(shù)是一個數(shù)組,包含兩個元素:options和flags。若是只有flags元素,則也可以直接傳遞而不用數(shù)組。
驗證外部數(shù)據
除了PHP腳本自己產生的數(shù)據,來自用戶提交的數(shù)據占大部分。當然我們也可以直接用filter_var進行過濾:
復制代碼 代碼如下:
if(isset($_GET['age']))
{
echo filter_var($_GET['age'], FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}
但是PHP中還專門提供了幾個函數(shù)用于驗證外部來源的數(shù)據:
復制代碼 代碼如下:
if(filter_has_var(INPUT_GET, 'age'))
{
echo filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}
相較于filter_var,filter_input多了一個參數(shù)(第一個參數(shù))用于指定數(shù)據的來源。而filter_has_var()而用來判斷是否存在指定的數(shù)據。
一次過濾多個數(shù)據
PHP還提供了filter_var_array和filter_input_array函數(shù)用于一次性驗證多個數(shù)據。
這是來自php.net上的一個實例,用于說明filter_var_array()怎么使用。
復制代碼 代碼如下:
$data = array(
'product_id' => 'libgd<script>',
'component' => '10',
'versions' => '2.0.33',
'testscalar' => array('2', '23', '10', '12'),
'testarray' => '2',
);
$args = array(
'product_id' => FILTER_SANITIZE_ENCODED,
'component' => array('filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options' => array('min_range' => 1, 'max_range' => 10)
),
'versions' => FILTER_SANITIZE_ENCODED,
'doesnotexist' => FILTER_VALIDATE_INT,
'testscalar' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_REQUIRE_SCALAR,
),
'testarray' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
)
);
$myinputs = filter_var_array($data, $args);
自定義過濾器
可以通過傳遞一個特殊的過濾器FILTER_CALLBACK來指定一個自定義的過濾器,下面這個過濾器將把所有郵箱地址的@轉換成#。
復制代碼 代碼如下:
function fun($value)
{
return strtr($value,'@','#');
}
$var = filter_var('abc@caixw.com', FILTER_CALLBACK, array('options' => 'fun'));
echo $var;
其它
ID (過濾器常量) |
名稱 (filter_list()函數(shù)返回的名稱) |
可用選項 | 標志位 | 描述 |
---|---|---|---|---|
Validating | ||||
FILTER_VALIDATE_BOOLEAN | "boolean" | FILTER_NULL_ON_FAILURE | 當難的數(shù)據為"1","true","on","yes"時返回true,否則返回false。當設置了FILTER_NULL_ON_FAILURE標志位,則僅在值是"0","false","off","no", 和""是返回false,其它非true值返回null。 | |
FILTER_VALIDATE_EMAIL | "validate_email" | 驗證郵箱 | ||
FILTER_VALIDATE_FLOAT | "float" | decimal | FILTER_FLAG_ALLOW_THOUSAND | 驗證浮點數(shù) |
FILTER_VALIDATE_INT | "int" | min_range, max_range | FILTER_FLAG_ALLOW_OCTAL, FILTER_FLAG_ALLOW_HEX | 驗證一個指定范圍內的整數(shù)值 |
FILTER_VALIDATE_IP | "validate_ip" | FILTER_FLAG_IPV4, FILTER_FLAG_IPV6, FILTER_FLAG_NO_PRIV_RANGE, FILTER_FLAG_NO_RES_RANGE | 驗證IP地址 | |
FILTER_VALIDATE_REGEXP | "validate_regexp" | regexp | 驗證一個正則表達式 | |
FILTER_VALIDATE_URL | "validate_url" | FILTER_FLAG_PATH_REQUIRED, FILTER_FLAG_QUERY_REQUIRED | 驗證一個URL | |
Sanitizing | ||||
FILTER_SANITIZE_EMAIL | "email" | 移除除英文字符,數(shù)字以及!#$%&'*+-/=?^_`{|}~@.[]之外的字符。 | ||
FILTER_SANITIZE_ENCODED | "encoded" | FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH | URL編碼字符串,去除或編碼指定字符串。 | |
FILTER_SANITIZE_MAGIC_QUOTES | "magic_quotes" | 應用 addslashes()函數(shù) | ||
FILTER_SANITIZE_NUMBER_FLOAT | "number_float" | FILTER_FLAG_ALLOW_FRACTION, FILTER_FLAG_ALLOW_THOUSAND, FILTER_FLAG_ALLOW_SCIENTIFIC | 移除除數(shù)字,+-以及.,eE以外的字符 | |
FILTER_SANITIZE_NUMBER_INT | "number_int" | 移除除數(shù)字以及+-以外的字符 | ||
FILTER_SANITIZE_SPECIAL_CHARS | "special_chars" | FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_HIGH | HTML轉義字符,'"&><以及 ASCII 值小于 32 的字符。以及其它指定的字符。 | |
FILTER_SANITIZE_STRING | "string" | FILTER_FLAG_NO_ENCODE_QUOTES, FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP | 去除標簽,或是去除或編碼指定的字符。 | |
FILTER_SANITIZE_STRIPPED | "stripped" | Alias of "string" filter. | ||
FILTER_SANITIZE_URL | "url" | 刪除所有字符除字母、數(shù)字以及$-_.+!*'(),{}|\\^~[]`<>#%";/?:@&= | ||
FILTER_UNSAFE_RAW | "unsafe_raw" | FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP | 不做任何改變,或是按標志位去除或是編碼指定字母。 | |
FILTER_CALLBACK | "callback" | FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP | 自定義過濾器 |
標志位
ID | 可用的過濾器 | 描述 |
---|---|---|
FILTER_FLAG_STRIP_LOW | FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW | 去除ASCII小于32的字符。 |
FILTER_FLAG_STRIP_HIGH | FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW | 去除ASCII在于127的字符。 |
FILTER_FLAG_ALLOW_FRACTION | FILTER_SANITIZE_NUMBER_FLOAT | 允許小數(shù)點分隔符(.) |
FILTER_FLAG_ALLOW_THOUSAND | FILTER_SANITIZE_NUMBER_FLOAT, FILTER_VALIDATE_FLOAT | 允許千位分隔符(,) |
FILTER_FLAG_ALLOW_SCIENTIFIC | FILTER_SANITIZE_NUMBER_FLOAT | 允許科學計數(shù)法(e或E)。 |
FILTER_FLAG_NO_ENCODE_QUOTES | FILTER_SANITIZE_STRING | 不編碼引號(單引號和雙引號)。 |
FILTER_FLAG_ENCODE_LOW | FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW | 編碼ASCII小于32的字符。 |
FILTER_FLAG_ENCODE_HIGH | FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW | 編碼ASCII大于127的字母。 |
FILTER_FLAG_ENCODE_AMP | FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW | 編碼&符號。 |
FILTER_NULL_ON_FAILURE | FILTER_VALIDATE_BOOLEAN | 返回null當驗證數(shù)據不是以下字符串時(yes,no,1,0,true,false,on,off)。 |
FILTER_FLAG_ALLOW_OCTAL | FILTER_VALIDATE_INT | 允許八進制數(shù)值(0開頭)。 |
FILTER_FLAG_ALLOW_HEX | FILTER_VALIDATE_INT | 允許16進制數(shù)值。(0X或是0x開頭)。 |
FILTER_FLAG_IPV4 | FILTER_VALIDATE_IP | IP4格式字符串。 |
FILTER_FLAG_IPV6 | FILTER_VALIDATE_IP | IP6格式字符串。 |
FILTER_FLAG_NO_PRIV_RANGE | FILTER_VALIDATE_IP | RFC指定的私域IP。IP4如下范圍10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16?;蚴荌P6以下開頭的域: FD或FC |
FILTER_FLAG_NO_RES_RANGE | FILTER_VALIDATE_IP | 要求值不在保留的 IP 范圍內。IPv4 ranges:0.0.0.0/8, 169.254.0.0/16,192.0.2.0/24 and 224.0.0.0/4。不能應用于IP6。 |
FILTER_FLAG_PATH_REQUIRED | FILTER_VALIDATE_URL | 要求URL包含路徑部分。 |
FILTER_FLAG_QUERY_REQUIRED | FILTER_VALIDATE_URL | 要求URL查詢字符串。 |
相關文章
PHP create_function()函數(shù)應用實例詳解
create_function()函數(shù)在代碼審計中,主要用來查找項目中的代碼注入和回調后門的情況,熟悉了執(zhí)行流程,我們可以熟練的實現(xiàn)對代碼注入的payload構造,從而進行漏洞挖掘和找出存在的缺陷2022-10-10php使用get_class_methods()函數(shù)獲取分類的方法
這篇文章主要介紹了php使用get_class_methods()函數(shù)獲取分類的方法,結合實例形式分析了get_class_methods()函數(shù)獲取類中成員方法的使用技巧,需要的朋友可以參考下2016-07-07