ThinkPHP的I方法的使用解析-php教程-PHP中文網

ThinkPHP的I方法是眾多單字母函數中的新成員，主要用於更方便和安全的獲取系統輸入變量，可以用於任何地方。這篇文章主要介紹了ThinkPHP的I方法,需要的朋友可以參考下

ThinkPHP的I方法是眾多單字母函數中的新成員，其命名來自於英文Input（輸入），主要用於更方便且安全的取得系統輸入變量，可以用於任何地方，用法格式如下：
I('變數類型.變數名稱',['預設值'],['過濾方法'])
變數類型是指請求方式或輸入類型。

各個變數類型的意義如下：

########################################### #session######取得 $_SESSION 參數######

變數類型	意義
#get	取得GET參數
#post	取得POST參數
param	自動判斷請求類型取得GET、POST或PUT參數
request	取得REQUEST 參數
#put	取得PUT 參數

cookie	取得 $_COOKIE 參數
server	取得 $_SERVER 參數

############################################################################### ##globals######取得 $GLOBALS參數#############

注意：變數類型不區分大小寫。
變數名則嚴格區分大小寫。
預設值和過濾方法都屬於可選參數。

1.用法：

我們以GET變數型別為例，說明下I方法的使用：

echo I(&#39;get.id&#39;); // 相当于 $_GET[&#39;id&#39;]
echo I(&#39;get.name&#39;); // 相当于 $_GET[&#39;name&#39;]

登入後複製

支援預設值：

echo I(&#39;get.id&#39;,0); // 如果不存在$_GET[&#39;id&#39;] 则返回0
echo I(&#39;get.name&#39;,&#39;&#39;); // 如果不存在$_GET[&#39;name&#39;] 则返回空字符串

登入後複製

採用方法篩選：

echo I(&#39;get.name&#39;,&#39;&#39;,&#39;htmlspecialchars&#39;); // 采用htmlspecialchars方法对$_GET[&#39;name&#39;] 进行过滤，如果不存在则返回空字符串

登入後複製

支援直接取得整個變數類型，例如：

I(&#39;get.&#39;); // 获取整个$_GET 数组

登入後複製

用相同的方式，我們可以取得post或其他輸入類型的變量，例如：

I(&#39;post.name&#39;,&#39;&#39;,&#39;htmlspecialchars&#39;); // 采用htmlspecialchars方法对$_POST[&#39;name&#39;] 进行过滤，如果不存在则返回空字符串
I(&#39;session.user_id&#39;,0); // 获取$_SESSION[&#39;user_id&#39;] 如果不存在则默认为0
I(&#39;cookie.&#39;); // 获取整个 $_COOKIE 数组
I(&#39;server.REQUEST_METHOD&#39;); // 获取 $_SERVER[&#39;REQUEST_METHOD&#39;]

登入後複製

param變數類型是框架特有的支援自動判斷目前請求類型的變量取得方式，例如：

echo I(&#39;param.id&#39;);

登入後複製

如果目前請求類型是GET，那麼等效於$_GET['id']，如果目前請求類型是POST或PUT，那麼相當於取得$_POST['id'] 或PUT參數id。

且param類型變數也可以用數字索引的方式取得URL參數（必須是PATHINFO模式參數有效，無論是GET或POST方式都有效），例如：
目前存取URL位址是
http: //serverName/index.php/New/2013/06/01

那麼我們可以透過

echo I(&#39;param.1&#39;); // 输出2013
echo I(&#39;param.2&#39;); // 输出06
echo I(&#39;param.3&#39;); // 输出01

登入後複製

事實上， param變數類型的寫法可以簡化為：

I(&#39;id&#39;); // 等同于 I(&#39;param.id&#39;)
I(&#39;name&#39;); // 等同于 I(&#39;param.name&#39;)

登入後複製

#2.變數過濾

使用I方法的時候變數其實經過了兩道過濾，首先是全域的過濾，全域過濾是透過配置VAR_FILTERS參數，這裡一定要注意，3.1版本之後，VAR_FILTERS參數的過濾機制已經更改為採用array_walk_recursive方法遞歸過濾了，主要對過濾方法的要求是必須引用返回，所以這裡設定htmlspecialchars是無效的，你可以自訂一個方法，例如：

function filter_default(&$value){
 $value = htmlspecialchars($value);
 }

登入後複製

##然後配置：

&#39;VAR_FILTERS&#39;=>&#39;filter_default&#39;

登入後複製

如果需要進行多次過濾，可以用：

&#39;VAR_FILTERS&#39;=>&#39;filter_default,filter_exp&#39;

登入後複製

filter_exp方法是框架內建的安全過濾方法，用於防止利用模型的EXP功能進行注入攻擊。

因為VAR_FILTERS參數設定的是全域過濾機制，而且採用的是遞歸過濾，對效率有所影響，所以，我們更建議直接對獲取變數過濾的方式，除了在I方法的第三個參數設定過濾方法外，還可以採用配置DEFAULT_FILTER參數的方式設定過濾，事實上，該參數的預設設定是：

&#39;DEFAULT_FILTER&#39;  => &#39;htmlspecialchars&#39;

登入後複製

也就說，I方法的所有獲取變數都會進行htmlspecialchars過濾，那麼：

I(&#39;get.name&#39;); // 等同于 htmlspecialchars($_GET[&#39;name&#39;])

登入後複製

同樣，該參數也可以支援多個過濾，例如：

&#39;DEFAULT_FILTER&#39;  => &#39;strip_tags,htmlspecialchars&#39;

登入後複製

I(&#39;get.name&#39;); // 等同于 htmlspecialchars(strip_tags($_GET[&#39;name&#39;]))

登入後複製

如果我們在使用I方法的時候指定了過濾方法，那麼就會忽略DEFAULT_FILTER的設置，例如：

echo I(&#39;get.name&#39;,&#39;&#39;,&#39;strip_tags&#39;); // 等同于 strip_tags($_GET[&#39;name&#39;])

登入後複製

I方法的第三個參數如果傳入函數名，則表示調用該函數對變數進行過濾並傳回（在變數是陣列的情況下自動使用array_map進行過濾處理），否則會呼叫PHP內建的filter_var方法進行過濾處理，例如：

I(&#39;post.email&#39;,&#39;&#39;,FILTER_VALIDATE_EMAIL);

登入後複製

表示會對$_POST['email'] 進行格式驗證，如果不符合要求的話，回傳空字串。

（關於更多的驗證格式，可以參考官方手冊的filter_var用法。）

或可以用下面的字元標識方式：

I(&#39;post.email&#39;,&#39;&#39;,&#39;email&#39;);

登入後複製

可以支援的過濾名稱必須是filter_list方法中的有效值（不同的伺服器環境可能有所不同），可能支援的包括：

int
 boolean
 float
validate_regexp
validate_url
validate_email
validate_ip
 string
stripped
encoded
special_chars
unsafe_raw
email
url
number_int
number_float
magic_quotes
callback

登入後複製

在有些特殊的情況下，我們不希望進行任何過濾，即使DEFAULT_FILTER已經有所設置，可以使用：