php 過濾器實現代碼

文章目錄

• 其它

在以前，一個使用者通過網路主要是擷取資訊。而如今的網路剛更注重與使用者的互動，使用者不再僅僅是網站的瀏覽者，也是網站內容的製造者。由以前單純的“讀”向“寫”以及“共同創作”發展，由被動接收資訊向主動分行資訊發展。而隨之而來的安全問題也成了web開發人員不可忽視的問題，驗證第三方來源的資料成了每個web程式必不可少的功能。

在以前，PHP需要驗證資料，一般都是程式員自己通過Regex實現，而從PHP從5.2開始把原本的PCEL中的filter函數移到了內建庫中，並做了不少強化，可以用這些函數實現對資料的過濾和驗證。

資料來源及驗證類型
PHP中的資料來源包含兩部分，其一是外部變數（如POST、GET、COOKIE等），還有一種是頁面內部產生的資料。PHP針對這兩種資料類型分別定義了ilter_input_**和filter_var_**系列函數。而依據驗證方法的不一樣又可以分為Validating和Sanitizing兩種。Validating用於驗證資料，返回一個布爾值。Sanitizing則按規則過濾一些特定的字元，返回的是處理後的字串。

簡單用法
比如驗證一個字串是否是一個整數，在以往我們可以通過Regex或是is_numeric函數實現：

複製代碼 代碼如下:$str = '51ab';
preg_match('/^[0-9]*$/', $str);
is_numeric($str);

新的驗證函式可以用以下方式：

$str = '51ab';
echo filter_var($str, FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';FILTER_VALIDATE_INT是PHP定義的一個過濾器，用於驗證$str是否為一個整數。實際上這就是一個數值常量，通過echo FILTER_VALIDATE_INT;發現值為257。所以我們也可以用：

$str = '51ab';
echo filter_var($str, 257) ? 'is valid' : 'is not valid';PHP中定義了大量常用的過濾器，我們可以通過filter_list()獲得所有支援的過濾器名稱（用字串表示），然後再用filter_id(string)擷取其數值：

print_r(filter_list()); // 所有支援的過濾器名稱。
echo '=========';
echo filter_id('int'); // 'int' 是filter_list返回的一個過濾器名稱。以上將輸入出類似以下內容：

array(0=>int',1=>'boolean',2=>'float',3=>'validate_regexp')
==========
257Sanitizing過濾器
上面這個是驗證資料格式是否正確，有時候過濾掉無關的內容也是挺重要的。SANITIZE過濾提供了這種功能，比如過濾掉一個email中多餘的字元：

$email = '<script>alert("test");</sript>xxx@caixw.com';
echo $email; // 直接輸出，將會執行script指令碼。
echo filter_var($email, FILTER_SANITIZE_EMAIL); // 會過濾掉<和>輸出scriptalerttestscriptxxx@caixw.com選項和標誌
filter_var的功能還不止於此，還可以指定第三個參數，附加一些特殊的選項，比如一個規定了最大值的整數： 複製代碼 代碼如下:$options = array(
'options'=>array('max_range'=>50),
'flags'=>FILTER_FLAG_ALLOW_OCTAL,
);
$str = '51';
echo filter_var($str, FILTER_VALIDATE_INT, $options) ? 'is valid' : 'is not valid';

上面將返回is not valid。因為max_range規定其最大值只能為50。而FILTER_FLAG_ALLOW_OCTAL則允許驗證的資料是一個八進位的，也即是0開頭的。

$options參數是一個數組，包含兩個元素：options和flags。若是只有flags元素，則也可以直接傳遞而不用數組。

驗證外部資料
除了PHP指令碼自己產生的資料，來自使用者提交的資料佔大部分。當然我們也可以直接用filter_var進行過濾： 複製代碼 代碼如下:if(isset($_GET['age']))
{
echo filter_var($_GET['age'], FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}

但是PHP中還專門提供了幾個函數用於驗證外部來源的資料： 複製代碼 代碼如下:if(filter_has_var(INPUT_GET, 'age'))
{
echo filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT) ? 'is valid' : 'is not valid';
}

相較於filter_var，filter_input多了一個參數(第一個參數)用於指定資料的來源。而filter_has_var()而用來判斷是否存在指定的資料。

一次過濾多個資料
PHP還提供了filter_var_array和filter_input_array函數用於一次性驗證多個資料。

這是來自php.net上的一個執行個體，用於說明filter_var_array()怎麼使用。 複製代碼 代碼如下:$data = array(
'product_id' => 'libgd<script>',
'component' => '10',
'versions' => '2.0.33',
'testscalar' => array('2', '23', '10', '12'),
'testarray' => '2',
);

$args = array(
'product_id' => FILTER_SANITIZE_ENCODED,
'component' => array('filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options' => array('min_range' => 1, 'max_range' => 10)
),
'versions' => FILTER_SANITIZE_ENCODED,
'doesnotexist' => FILTER_VALIDATE_INT,
'testscalar' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_REQUIRE_SCALAR,
),
'testarray' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
)
);
$myinputs = filter_var_array($data, $args);

自訂過濾器
可以通過傳遞一個特殊的過濾器FILTER_CALLBACK來指定一個自訂的過濾器，下面這個過濾器將把所有郵箱地址的＠轉換成＃。 複製代碼 代碼如下:function fun($value)
{
return strtr($value,'@','#');
}
$var = filter_var('abc@caixw.com', FILTER_CALLBACK, array('options' => 'fun'));
echo $var;

其它

ID (過濾器常量)	名稱 (filter_list()函數返回的名稱)	可用選項	標誌位	描述
Validating
FILTER_VALIDATE_BOOLEAN	"boolean"		FILTER_NULL_ON_FAILURE	當難的資料為"1","true","on","yes"時返回true，否則返回false。當設定了FILTER_NULL_ON_FAILURE標誌位，則僅在值是"0","false","off","no", 和""是返回false，其它非true值返回null。
FILTER_VALIDATE_EMAIL	"validate_email"			驗證郵箱
FILTER_VALIDATE_FLOAT	"float"	decimal	FILTER_FLAG_ALLOW_THOUSAND	驗證浮點數
FILTER_VALIDATE_INT	"int"	min_range, max_range	FILTER_FLAG_ALLOW_OCTAL, FILTER_FLAG_ALLOW_HEX	驗證一個指定範圍內的整數值
FILTER_VALIDATE_IP	"validate_ip"		FILTER_FLAG_IPV4, FILTER_FLAG_IPV6, FILTER_FLAG_NO_PRIV_RANGE, FILTER_FLAG_NO_RES_RANGE	驗證IP地址
FILTER_VALIDATE_REGEXP	"validate_regexp"	regexp		驗證一個Regex
FILTER_VALIDATE_URL	"validate_url"		FILTER_FLAG_PATH_REQUIRED, FILTER_FLAG_QUERY_REQUIRED	驗證一個URL
Sanitizing
FILTER_SANITIZE_EMAIL	"email"			移除除英文字元，數字以及!#$%&'*+-/=?^_`{|}~@.[]之外的字元。
FILTER_SANITIZE_ENCODED	"encoded"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH	URL編碼字串，去除或編碼指定字串。
FILTER_SANITIZE_MAGIC_QUOTES	"magic_quotes"			應用 addslashes()函數
FILTER_SANITIZE_NUMBER_FLOAT	"number_float"		FILTER_FLAG_ALLOW_FRACTION, FILTER_FLAG_ALLOW_THOUSAND, FILTER_FLAG_ALLOW_SCIENTIFIC	移除除數字，+-以及.,eE以外的字元
FILTER_SANITIZE_NUMBER_INT	"number_int"			移除除數字以及+-以外的字元
FILTER_SANITIZE_SPECIAL_CHARS	"special_chars"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_HIGH	HTML逸出字元，'"&><以及 ASCII 值小於 32 的字元。以及其它指定的字元。
FILTER_SANITIZE_STRING	"string"		FILTER_FLAG_NO_ENCODE_QUOTES, FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	去除標籤，或是去除或編碼指定的字元。
FILTER_SANITIZE_STRIPPED	"stripped"			Alias of "string" filter.
FILTER_SANITIZE_URL	"url"			刪除所有字元除字母、數字以及$-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=
FILTER_UNSAFE_RAW	"unsafe_raw"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	不做任何改變，或是按標誌位去除或是編碼指定字母。
FILTER_CALLBACK	"callback"		FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP	自訂過濾器

標誌位

ID	可用的過濾器	描述
FILTER_FLAG_STRIP_LOW	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW	去除ASCII小於32的字元。
FILTER_FLAG_STRIP_HIGH	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_UNSAFE_RAW	去除ASCII在於127的字元。
FILTER_FLAG_ALLOW_FRACTION	FILTER_SANITIZE_NUMBER_FLOAT	允許小數點分隔字元(.)
FILTER_FLAG_ALLOW_THOUSAND	FILTER_SANITIZE_NUMBER_FLOAT, FILTER_VALIDATE_FLOAT	允許千位分隔字元(,)
FILTER_FLAG_ALLOW_SCIENTIFIC	FILTER_SANITIZE_NUMBER_FLOAT	允許科學計數法(e或E)。
FILTER_FLAG_NO_ENCODE_QUOTES	FILTER_SANITIZE_STRING	不編碼引號（單引號和雙引號）。
FILTER_FLAG_ENCODE_LOW	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼ASCII小於32的字元。
FILTER_FLAG_ENCODE_HIGH	FILTER_SANITIZE_ENCODED, FILTER_SANITIZE_SPECIAL_CHARS, FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼ASCII大於127的字母。
FILTER_FLAG_ENCODE_AMP	FILTER_SANITIZE_STRING, FILTER_SANITIZE_RAW	編碼&符號。
FILTER_NULL_ON_FAILURE	FILTER_VALIDATE_BOOLEAN	返回null當驗證資料不是以下字串時（yes,no,1,0,true,false,on,off）。
FILTER_FLAG_ALLOW_OCTAL	FILTER_VALIDATE_INT	允許八位元值（0開頭）。
FILTER_FLAG_ALLOW_HEX	FILTER_VALIDATE_INT	允許16進位數值。（0X或是0x開頭）。
FILTER_FLAG_IPV4	FILTER_VALIDATE_IP	IP4格式字串。
FILTER_FLAG_IPV6	FILTER_VALIDATE_IP	IP6格式字串。
FILTER_FLAG_NO_PRIV_RANGE	FILTER_VALIDATE_IP	RFC指定的私域IP。IP4如下範圍10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16。或是IP6以下開頭的域: FD或FC
FILTER_FLAG_NO_RES_RANGE	FILTER_VALIDATE_IP	要求值不在保留的 IP 範圍內。IPv4 ranges:0.0.0.0/8, 169.254.0.0/16,192.0.2.0/24 and 224.0.0.0/4。不能應用於IP6。
FILTER_FLAG_PATH_REQUIRED	FILTER_VALIDATE_URL	要求URL包含路徑部分。
FILTER_FLAG_QUERY_REQUIRED	FILTER_VALIDATE_URL	要求URL查詢字串。