PHP-Filter werden verwendet, um Daten aus unsicheren Quellen, wie z. B. Benutzereingaben, zu validieren und zu filtern.
Was sind PHP-Filter?
PHP-Filter werden zum Validieren und Filtern von Daten aus unsicheren Quellen verwendet.
Das Validieren und Filtern von Benutzereingaben oder benutzerdefinierten Daten ist ein wichtiger Bestandteil jeder Webanwendung.
Filtererweiterungen für PHP sollen die Datenfilterung einfacher und schneller machen.
Warum Filter verwenden?
Fast alle Webanwendungen sind auf externen Input angewiesen. Diese Daten stammen in der Regel von Benutzern oder anderen Anwendungen (z. B. Webdiensten). Durch die Verwendung von Filtern können Sie sicherstellen, dass Ihre Anwendung den richtigen Eingabetyp erhält.
Sie sollten immer externe Daten filtern!
Eingabefilterung ist eines der wichtigsten Themen zur Anwendungssicherheit.
Was sind externe Daten?
•Geben Sie Daten aus dem Formular ein
•Cookies
•Servervariablen
•Ergebnisse der Datenbankabfrage
Funktionen und Filter
Um Variablen zu filtern, verwenden Sie eine der folgenden Filterfunktionen:
•filter_var() – Filtert eine einzelne Variable nach einem angegebenen Filter
•filter_var_array() – Filtern Sie mehrere Variablen mit denselben oder unterschiedlichen Filtern
•filter_input – Holen Sie sich eine Eingabevariable und filtern Sie sie
• filter_input_array – Nehmen Sie mehrere Eingabevariablen und filtern Sie sie durch dieselben oder unterschiedliche Filter
Im folgenden Beispiel validieren wir eine Ganzzahl mit der Funktion filter_var():
<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT))
{
echo("Integer is not valid");
}
else
{
echo("Integer is valid");
}
?> Der obige Code verwendet den Filter „FILTER_VALIDATE_INT“, um Variablen zu filtern. Da diese Ganzzahl zulässig ist, lautet die Ausgabe des Codes: „Ganzzahl ist gültig“.
Wenn wir versuchen, eine nicht ganzzahlige Variable zu verwenden, lautet die Ausgabe: „Ganzzahl ist ungültig“.
Eine vollständige Liste der Funktionen und Filter finden Sie in unserem PHP-Filter-Referenzhandbuch.
Validierung und Desinfektion
Es gibt zwei Arten von Filtern:
Validierungsfilter:
• Wird zur Validierung von Benutzereingaben verwendet
•Strenge Formatierungsregeln (z. B. URL- oder E-Mail-Validierung)
• Gibt den erwarteten Typ zurück, wenn erfolgreich, oder FALSE, wenn fehlgeschlagen
Desinfektionsfilter:
•Wird verwendet, um bestimmte Zeichen in einer Zeichenfolge zuzulassen oder zu verbieten
•Keine Datenformatregeln
•Gibt immer eine Zeichenfolge
zurück
Optionen und Flags
Optionen und Flags werden verwendet, um dem angegebenen Filter zusätzliche Filteroptionen hinzuzufügen.
Verschiedene Filter haben unterschiedliche Optionen und Flags.
Im folgenden Beispiel validieren wir eine Ganzzahl mit filter_var() mit den Optionen „min_range“ und „max_range“:
<?php
$var=300;
$int_options = array(
"options"=>array
(
"min_range"=>0,
"max_range"=>256
)
);
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
echo("Integer is not valid");
}
else
{
echo("Integer is valid");
}
?> Genau wie im obigen Code müssen Optionen in ein zugehöriges Array namens „Optionen“ eingefügt werden. Wenn Flags verwendet werden, müssen diese nicht in einem Array vorhanden sein.
Da die Ganzzahl „300“ ist, was nicht innerhalb des angegebenen Bereichs liegt, lautet die Ausgabe des obigen Codes „Ganzzahl ist ungültig“.
Eine vollständige Liste der Funktionen und Filter finden Sie im PHP-Filter-Referenzhandbuch von W3School. Sie können die verfügbaren Optionen und Flags für jeden Filter sehen.
Eingabe validieren
Versuchen wir, die Eingabe aus dem Formular zu validieren.
Als Erstes müssen wir bestätigen, dass die gesuchten Eingabedaten vorhanden sind.
Dann verwenden wir die Funktion filter_input(), um die Eingabedaten zu filtern.
Im folgenden Beispiel wird die Eingabevariable „email“ an die PHP-Seite übergeben:
<?php
if(!filter_has_var(INPUT_GET, "email"))
{
echo("Input type does not exist");
}
else
{
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
{
echo "E-Mail is not valid";
}
else
{
echo "E-Mail is valid";
}
}
?>Erläuterung der Beispiele:
Im obigen Beispiel wird eine Eingabevariable (E-Mail) über die Methode „GET“ übergeben:
1. Prüfen Sie, ob eine „email“-Eingabevariable vom Typ „GET“ vorhanden ist
2. Wenn eine Eingabevariable vorhanden ist, prüfen Sie, ob es sich um eine gültige E-Mail-Adresse handelt
Eingabe reinigen
Versuchen wir, die vom Formular übergebene URL zu bereinigen.
Zuerst möchten wir bestätigen, dass die gesuchten Eingabedaten vorhanden sind.
Dann verwenden wir die Funktion filter_input(), um die Eingabedaten zu bereinigen.
Im folgenden Beispiel wird die Eingabevariable „url“ an die PHP-Seite übergeben:
<?php
if(!filter_has_var(INPUT_POST, "url"))
{
echo("Input type does not exist");
}
else
{
$url = filter_input(INPUT_POST, "url", FILTER_SANITIZE_URL);
}
?> 例子解释:
上面的例子有一个通过 "POST" 方法传送的输入变量 (url):
1.检测是否存在 "POST" 类型的 "url" 输入变量
2.如果存在此输入变量,对其进行净化(删除非法字符),并将其存储在 $url 变量中
假如输入变量类似这样:"http://www.W3非o法ol.com.c字符n/",则净化后的 $url 变量应该是这样的:
http://www.W3School.com.cn/
过滤多个输入
表单通常由多个输入字段组成。为了避免对 filter_var 或 filter_input 重复调用,我们可以使用 filter_var_array 或 the filter_input_array 函数。
在本例中,我们使用 filter_input_array() 函数来过滤三个 GET 变量。接收到的 GET 变量是一个名字、一个年龄以及一个邮件地址:
<?php
$filters = array
(
"name" => array
(
"filter"=>FILTER_SANITIZE_STRING
),
"age" => array
(
"filter"=>FILTER_VALIDATE_INT,
"options"=>array
(
"min_range"=>1,
"max_range"=>120
)
),
"email"=> FILTER_VALIDATE_EMAIL,
);
$result = filter_input_array(INPUT_GET, $filters);(array(3) { ["name"]=> string(1) "1" ["age"]=> bool(false) ["email"]=> string(8) "1@qq.com" })
if (!$result["age"])
{
echo("Age must be a number between 1 and 120.<br />");
}
elseif(!$result["email"])
{
echo("E-Mail is not valid.<br />");
}
else
{
echo("User input is valid");
}
?> 例子解释:
上面的例子有三个通过 "GET" 方法传送的输入变量 (name, age and email)
1.设置一个数组,其中包含了输入变量的名称,以及用于指定的输入变量的过滤器
2.调用 filter_input_array 函数,参数包括 GET 输入变量及刚才设置的数组
3.检测 $result 变量中的 "age" 和 "email" 变量是否有非法的输入。(如果存在非法输入,)
filter_input_array() 函数的第二个参数可以是数组或单一过滤器的 ID。
如果该参数是单一过滤器的 ID,那么这个指定的过滤器会过滤输入数组中所有的值。
如果该参数是一个数组,那么此数组必须遵循下面的规则:
•必须是一个关联数组,其中包含的输入变量是数组的键(比如 "age" 输入变量)
•此数组的值必须是过滤器的 ID ,或者是规定了过滤器、标志以及选项的数组
使用 Filter Callback
通过使用 FILTER_CALLBACK 过滤器,可以调用自定义的函数,把它作为一个过滤器来使用。这样,我们就拥有了数据过滤的完全控制权。
您可以创建自己的自定义函数,也可以使用已有的 PHP 函数。
规定您准备用到过滤器函数的方法,与规定选项的方法相同。
在下面的例子中,我们使用了一个自定义的函数把所有 "_" 转换为空格:
<?php
function convertSpace($string)
{
return str_replace("_", " ", $string);
}
$string = "Peter_is_a_great_guy!";
echo filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace"));
?> 以上代码的结果是这样的:
Peter is a great guy!
例子解释:
上面的例子把所有 "_" 转换成空格:
1.创建一个把 "_" 替换为空格的函数
2.调用 filter_var() 函数,它的参数是 FILTER_CALLBACK 过滤器以及包含我们的函数的数组
以上所述是小编给大家介绍的PHP Filter过滤器全面解析,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!
So öffnen Sie eine PHP-Datei
So entfernen Sie die ersten paar Elemente eines Arrays in PHP
Was tun, wenn die PHP-Deserialisierung fehlschlägt?
So verbinden Sie PHP mit der MSSQL-Datenbank
So verbinden Sie PHP mit der MSSQL-Datenbank
So laden Sie HTML hoch
So lösen Sie verstümmelte Zeichen in PHP
So öffnen Sie PHP-Dateien auf einem Mobiltelefon
