Validation numérique robuste: `is_numeric ()` vs `filter_var ()`

is_numeric () vérifie si une valeur peut être interprétée comme un nombre, en acceptant des formats comme Hex, Notation Scientific et Whitespace, mais ne renvoie qu'un booléen sans casting de type. 2. Filter_var () avec filter_validate_int ou filter_validate_float valide et désinfecte en renvoyant le nombre réel ou faux, gère les vérifications de la plage et rejette l'espace blanc. 3. Utiliser is_numeric () pour les vérifications de type interne sur les données de confiance où les performances sont importantes. 4. Utilisez filter_var () pour la validation d'entrée de l'utilisateur pour assurer la sécurité, la mise en forme stricte et la conversion de type approprié. Pour une validation numérique robuste et sécurisée des données externes, filter_var () est le choix clair.

Lors de la validation de l'entrée numérique dans PHP, le choix de la bonne fonction est importante, en particulier lorsque la sécurité, la manipulation de types et les cas de bord sont sur la ligne. Deux outils couramment utilisés sont is_numeric() et filter_var() avec les filtres FILTER_VALIDATE_FLOAT ou FILTER_VALIDATE_INT . Mais lequel devriez-vous réellement utiliser et quand?

Décomposons-le.

1. Qu'est is_numeric() ce que fait réellement

is_numeric() vérifie si une variable peut être interprétée comme un nombre dans le système de type lâche de PHP.

 is_numeric ("42"); // vrai
is_numeric ("3.14"); // vrai
is_numeric ("0xff"); // vrai (hexadécimal)
is_numeric ("1e4"); // vrai (notation scientifique)
is_numeric ("123"); // vrai (signe de tête)
is_numeric ("- 5.6"); // vrai
is_numeric ("42"); // vrai (espace blanc autorisé!)
is_numeric (""); // FAUX
is_numeric ("42abc"); // FAUX

✅ PROS:

• Très permissive - accepte de nombreux formats numériques valides.
• Rapide et intégré.

❌ contre:

• Renvoie true pour les chaînes avec des espaces blancs / traînants.
• Accepte Hex ( 0xFF ) et la notation scientifique ( 1e4 ), qui peut ne pas être souhaitée.
• Ne fait pas la distinction entre les entiers et les flotteurs.
• Aucun casting de type - il ne valide que, ne désinfectue pas.

⚠️ Zone de danger : is_numeric(" 42 ") Renvoie true , mais si vous attendez une entrée stricte, ces espaces peuvent provoquer des problèmes en aval.

2. Comment fonctionne filter_var() pour les nombres

filter_var() vous donne plus de contrôle en offrant des filtres dédiés:

Pour les entiers:

 filter_var ("42", filter_validate_int); // 42
filter_var ("42", filter_validate_int); // FAUX
filter_var ("42.0", filter_validate_int); // FAUX
filter_var ("0xff", filter_validate_int); // 255 (Hex valide)

Pour les flotteurs:

 filter_var ("3.14", filter_validate_float); // 3.14
filter_var ("1e4", filter_validate_float); // 10000
filter_var ("3.14", filter_validate_float); // FAUX

✅ PROS:

• Peut valider et désinfecter (renvoie le nombre réel ou false ).
• Comportement plus prévisible.
• Prend en charge des options comme min_range , max_range .

 // s'assurer que la valeur est un entier entre 1 et 100
filter_var ($ input, filter_validate_int, [
    'Options' => ['min_range' => 1, 'max_range' => 100]
]));

❌ contre:

• Un peu plus verbeux.
• Par défaut, accepte toujours les notations hexadécimales et scientifiques à moins que vous ne les désinfectez.

3. Différences clés en un coup d'œil

4. Quand utiliser lequel?

✅ Utiliser is_numeric() quand:

• Vous effectuez des contrôles de type rapide pendant la logique interne.
• La contribution a déjà été désinfectée.
• Vous souhaitez accepter un large éventail de valeurs nombres (y compris Hex, Notation SCI).
• Les performances sont essentielles et la contribution est fiable.

✅ Utilisez filter_var() quand:

• Valider l'entrée de l'utilisateur (formulaires, API, paramètres de requête).
• Vous devez à la fois valider et convertir en un numéro approprié.
• Vous souhaitez appliquer un formatage strict (pas d'espace blanc).
• Vous avez besoin de contraintes de plage.

? Conseil de sécurité : préfère toujours filter_var() pour la saisie de l'utilisateur - il est conçu pour filtrer les données non fiables.

Bonus: désinfection avant de valider

Parfois, vous voulez autoriser Whitespace mais utilisez toujours filter_var() :

 $ input = trim ("42");
filter_var ($ input, filter_validate_int); // fonctionne maintenant → 42

Ou interdire Hex:

 filter_var ($ input, filter_validate_int, [
    'flags' => filter_flag_allow_hex
])); // omettez ce drapeau pour rejeter hex

Verdict final

• is_numeric() est un assistant de vérification de type , pas un outil de validation pour l'entrée externe.
• filter_var() est le bon choix pour une validation numérique robuste et sécurisée des utilisateurs.

? Règle de base : si les données proviennent de l'extérieur de votre script (formulaire, API, URL), utilisez filter_var() . S'il est interne et que vous avez juste besoin de vérifier la flexibilité de type, is_numeric() c'est bien.

Fondamentalement, ce n'est pas vraiment une épreuve de force - chaque place a sa place, mais pour une validation robuste , filter_var() gagne d'un mile.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!