超越`iSset（）`：深入研究验证和消毒$ _ post数组

仅ISSET（）仅用于安全的PHP表单处理，因为它仅检查存在，而不是数据类型，格式或安全性； 2。始终使用filter_input（）或filter_var（）的输入验证，并使用适当的过滤器（例如filter_validate_email）验证输入，以确保正确格式； 3.使用empty（）检查所需的字段，但要对可能有效的“ 0”之类的值谨慎； 4.使用strlen（）和preg_match（）来实现复杂规则（例如密码强度）的手动验证; 5。使用htmlspecialchars（），strip_tags（）或最新的过滤器功能来消毒数据以防止XSS，避免使用extectect_sanitize_string等不defrece愧的选项； 6。通过使用is_array（）验证类型并对每个元素进行验证，可以安全地处理数组，并选择使用递归功能来嵌套数据； 7.遵循安全性最佳实践，包括服务器端验证，已准备好SQL的准备语句，输出逃逸和CSRF保护； 8。一种完整的方法结合了存在检查，验证和上下文意识卫生化，以确保数据完整性和应用程序安全性，如示例所示，在使用前电子邮件，名称和年龄在使用前对电子邮件，名称和年龄进行了正确验证和消毒，从而导致更安全，更可靠的应用程序。

当处理PHP中的数据时，仅依靠isset()检查$_POST变量是一个常见的起点，但通常还不够。虽然isset()告诉您是否存在变量且不null，但它无法确认数据类型，格式或安全性。为了构建安全可靠的应用程序，您需要超越简单的存在检查，并实施$_POST数据的适当验证和消毒。

让我们探讨为什么isset()跌落不足以及如何正确处理用户输入。

为什么isset()还不够

考虑此典型检查：

 if（isset（$ _ post ['email']））{
    $ email = $ _post ['email'];
}

这仅确认关键的存在。但是如果：

• 值是一个空字符串？
• 它包含恶意HTML或脚本标签？
• 这不是有效的电子邮件格式吗？
• 当您期望字符串时，这是一个数组？

在所有这些情况下， isset()返回true 。这就是为什么其他步骤至关重要的原因。

1。验证：确认数据符合预期标准

验证确保数据的格式，类型和可接受的范围内。 PHP为此提供了几种工具。

使用filter_input()和filter_var()

这些功能使您可以使用内置过滤器来验证和消毒。

 $ email = filter_input（input_post，'email'，filter_validate_email）;
如果（！$ email）{
    DIE（“无效的电子邮件格式。”）;
}

这不仅检查存在，还可以验证电子邮件结构。

其他有用的验证过滤器：

• FILTER_VALIDATE_INT
• FILTER_VALIDATE_URL
• FILTER_VALIDATE_BOOLEAN
• FILTER_VALIDATE_FLOAT

验证所需的字段，带有empty()

与isset()不同， empty()检查存在和“真实”：

 if（占（$ _ post ['username']））{
    DIE（“需要用户名”。）；
}

注意： empty()返回为"" ， 0 ， "0" ， null ， false和[]的true 。对0有效的字段谨慎。

复杂规则的手动验证

对于自定义逻辑（例如，密码强度，最小/最大长度）：

 $ password = $ _post ['password'] ?? '';

if（strlen（$ passwass）<8）{
    DIE（“密码必须至少为8个字符”）；
}

如果（！
    DIE（“密码必须包含大写字母。”）;
}

2。消毒：使用前清洁数据

消毒会删除或编码不需要的字符，同时保留安全可用的数据。

使用filter_input()和卫生过滤器

$ name = filter_input（input_post，'name'，filter_sanitize_string）;
//删除标签并编码特殊字符

⚠️注意： FILTER_SANITIZE_STRING截至PHP 8.1。使用htmlspecialchars()或strip_tags()等替代方案。

手动消毒示例

$ name = htmlspecialchars（$ _ post ['name'] ??''，ent_quotes，'utf-8'）;
$ email = filter_var（$ _ post ['email']，filter_sanitize_email）;
$ url = filter_var（$ _ post ['url']，filter_sanitize_url）;

对于数组（例如，多个复选框），对每个项目进行清理：

 $ tags = $ _post ['tags'] ?? [];
$ sanitized_tags = array_map（'htmlspecialchars'，array_map（'trim'，$ tags））;

3。安全处理数组和嵌套数据

表格可以提交数组，盲目访问它们可能会导致错误。

在处理前检查类型

$ colors = $ _post ['颜色']？无效的;

如果（！is_array（$ colors））{
    die（“颜色必须是一个数组。”）;
}

$ safe_colors = [];
foreach（$颜色为$ color）{
    $ CLAIN = FILLE_VAR（TRIM（$ color），filter_sanitize_string）;
    如果（！
        $ safe_colors [] = $ clean;
    }
}

将递归消毒用于嵌套结构

函数sanitize_array（$ data）{
    $结果= [];
    foreach（$ data作为$ key => $ value）{
        $ key = filter_var（$ key，filter_sanitize_string）;
        如果（is_array（$ value））{
            $结果[$ key] = sanitize_array（$ value）;
        } 别的 {
            $结果[$ key] = filter_var（$ value，filter_sanitize_string）;
        }
    }
    返回$结果；
}

$ clean_post = sanitize_array（$ _ post）;

4。安全最佳实践

• 永远不要相信用户输入。假设所有$_POST数据都是危险的，直到否则证明。
• 在服务器上验证。客户端验证可以绕过。
• 在将数据插入数据库中以防止SQL注入时，请使用准备好的语句。
• 在HTML中显示用户数据时，请使用htmlspecialchars()逃脱输出。
• 设置适当的内容类型，并使用CSRF代币进行敏感动作。

示例：完整的表格处理

$ errors = [];
$ data = [];

if（$ _server ['request_method'] ==='post'）{
    //验证电子邮件
    $ email = filter_input（input_post，'email'，filter_validate_email）;
    如果（！$ email）{
        $ errors [] ='需要有效的电子邮件。';
    } 别的 {
        $ data ['email'] = $ email;
    }

    //验证和消毒名称
    $ name = trim（$ _ post ['name'] ??''）;
    if（empty（$ name））{
        $ errors [] ='需要名称。';
    } 别的 {
        $ data ['name'] = htmlspecialchars（$ name，ent_quotes，'utf-8'）;
    }

    //验证年龄
    $ age = filter_input（input_post，'age'，filter_validate_int，[
        'options'=> ['min_range'=> 1，'max_range'=> 120]
    ）;
    如果（$ age === false）{
        $错误[] ='年龄必须是1到120之间的数字。';
    } 别的 {
        $ data ['age'] = $ age;
    }

    if（empty（$ errors））{
        //处理有效数据
        echo“你好，{$ data ['name']}！您{$ data ['age']}年龄。
    } 别的 {
        foreach（$误差为$错误）{
            echo“ <p style =&#39;颜色：红色;&#39;> $ error </p>”;
        }
    }
}

超越isset()意味着将每一个$_POST值视为不信任。将存在检查与类型验证，格式规则和针对数据的使用方式（无论是在HTML，SQL还是外部API中）量身定制的。

额外的努力以更少的错误，更好的UX和更强大的安全性得到回报。

基本上， isset()只是第一个门。在重要的事情之后发生的事情要多得多。

以上是超越`iSset（）`：深入研究验证和消毒$ _ post数组的详细内容。更多信息请关注PHP中文网其他相关文章！