在使用者輸入資料過濾時通常都是自己寫方法進行判斷
例如驗證信箱的時候使用正規表示式
$pattern = "/\w+([-+.']\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*/";
if (!preg_match($pattern, $email)) {
throw new \Exception(self::ERROR_PARAMETER_EMPTY . '_邮件格式有误:' . $email);
}登入後複製
如果不用正則還有其它跟簡單的方法嗎?
使用filter相關函數
filter_has_var(type, variable) 是否存在指定類型的變數。
filter_input 從腳本外部取得輸入,並進行過濾。
filter_input_array 從腳本外部取得多個輸入,並進行過濾。
filter_var 取得一個變量,並進行過濾。
filter_var_array 取得多項變量,並進行篩選。
filter_has_var
判斷$_GET 的結果是否包含name
if(!filter_has_var(INPUT_GET, "name"))
{
echo("name 不存在");
}
else
{
echo("name 存在");
}登入後複製
filter_input
看一個驗證信箱的範例
if (!filter_input(INPUT_GET, 'email', FILTER_VALIDATE_EMAIL))
{
echo "E-Mail is not valid";
}
else
{
echo "E-Mail is valid";
}登入後複製
filter_input_array
對整個input來源進行過濾
$filters = array ( "name" => array ( "filter"=>FILTER_CALLBACK, "flags"=>FILTER_FORCE_ARRAY, "options"=>"ucwords" ), "age" => array ( "filter"=>FILTER_VALIDATE_INT, "options"=>array ( "min_range"=>1, "max_range"=>120 ) ), "email"=> FILTER_VALIDATE_EMAIL, ); print_r(filter_input_array(INPUT_POST, $filters));
登入後複製
filter_var,filter_var_array
不需要input來源,直接對值進行過濾
if(!filter_var("someone@example....com", FILTER_VALIDATE_EMAIL))
{
echo("E-mail is not valid");
}
else
{
echo("E-mail is valid");
}登入後複製
input來源的範圍
驗證
#其它過濾方法
# strip_tags 刪除html標籤
htmlentities 把字元轉換為HTML 實體,(也會把貨幣表示符號歐元英鎊等、版權符號等轉義)
htmlspecialchars 函數把預先定義的字元轉換為HTML 實體。
預先定義的字元是:
& (和號)變成&
"(雙引號)變成"
'(單引號)變成 '
<(小於)變成<
(大於)成為>
*提示:如需把特殊的HTML 實體轉換回字符,請使用htmlspecialcharsdecode() 函數。
$input = "<span>我是标题</span>"; echo htmlspecialchars($input) . "\n"; echo htmlentities($input) . "\n"; echo strip_tags($input) . "\n"; $input = "-- 'select * from "; echo addslashes($input) . "\n";
登入後複製
