PHP-輸入變數

標籤：3.2   調用   不同   參數設定   back   寫法   pathinfo   調整   參數   

在Web開發過程中，我們經常需要擷取系統變數或者使用者提交的資料，這些變數資料錯綜複雜，而且一不小心就容易引起安全隱患，但是如果利用好ThinkPHP提供的變數擷取功能，就可以輕鬆的擷取和駕馭變數了。

擷取變數

雖然你仍然可以在開發過程中使用傳統方式擷取各種系統變數，例如：

1. $id = $_GET[‘id‘]; // 擷取get變數
2. $name = $_POST[‘name‘]; // 擷取post變數
3. $value = $_SESSION[‘var‘]; // 擷取session變數
4. $name = $_COOKIE[‘name‘]; // 擷取cookie變數
5. $file = $_SERVER[‘PHP_SELF‘]; // 擷取server變數

但是我們不建議直接使用傳統方式擷取，因為沒有統一的安全處理機制，後期如果調整的話，改起來會比較麻煩。所以，更好的方式是在架構中統一使用I函數進行變數擷取和過濾。

I方法是ThinkPHP用於更加方便和安全的擷取系統輸入變數，可以用於任何地方，用法格式如下：

I(‘變數類型.變數名/修飾符‘,[‘預設值‘],[‘過濾方法‘],[‘額外資料來源‘])

變數類型是指請求方式或者輸入類型，包括：

變數類型	含義
get	擷取GET參數
post	擷取POST參數
param	自動判斷請求類型擷取GET、POST或者PUT參數
request	擷取REQUEST 參數
put	擷取PUT 參數
session	擷取 $_SESSION 參數
cookie	擷取 $_COOKIE 參數
server	擷取 $_SERVER 參數
globals	擷取 $GLOBALS參數
path	擷取 PATHINFO模式的URL參數（3.2.2新增）
data	擷取 其他類型的參數，需要配合額外資料來源參數（3.2.2新增）

注意：變數類型不區分大小寫。
變數名則嚴格區分大小寫。
預設值和過濾方法均屬於選擇性參數。

變數修飾符是3.2.3版本新增

我們以GET變數類型為例，說明下I方法的使用：

1. echo I(‘get.id‘); // 相當於 $_GET[‘id‘]
2. echo I(‘get.name‘); // 相當於 $_GET[‘name‘]

支援預設值：

1. echo I(‘get.id‘,0); // 如果不存在$_GET[‘id‘] 則返回0
2. echo I(‘get.name‘,‘‘); // 如果不存在$_GET[‘name‘] 則返回Null 字元串

採用方法過濾：

1. // 採用htmlspecialchars方法對$_GET[‘name‘] 進行過濾，如果不存在則返回Null 字元串
2. echo I(‘get.name‘,‘‘,‘htmlspecialchars‘);

支援直接擷取整個變數類型，例如：

1. // 擷取整個$_GET 數組
2. I(‘get.‘);

用同樣的方式，我們可以擷取post或者其他輸入類型的變數，例如：

1. I(‘post.name‘,‘‘,‘htmlspecialchars‘); // 採用htmlspecialchars方法對$_POST[‘name‘] 進行過濾，如果不存在則返回Null 字元串
2. I(‘session.user_id‘,0); // 擷取$_SESSION[‘user_id‘] 如果不存在則預設為0
3. I(‘cookie.‘); // 擷取整個 $_COOKIE 數組
4. I(‘server.REQUEST_METHOD‘); // 擷取 $_SERVER[‘REQUEST_METHOD‘]

param變數類型是架構特有的支援自動判斷當前請求類型的變數擷取方式，例如：

echo I(‘param.id‘);

如果當前請求類型是GET，那麼等效於 $_GET[‘id‘]，如果當前請求類型是POST或者PUT，那麼相當於擷取 $_POST[‘id‘] 或者 PUT參數id。

由於param類型是I函數預設擷取的變數類型，因此事實上param變數類型的寫法可以簡化為：

1. I(‘id‘); // 等同於 I(‘param.id‘)
2. I(‘name‘); // 等同於 I(‘param.name‘)

3.2.2新增了path和data兩個變數類型，用法如下：

path類型變數可以用於擷取URL參數（必須是PATHINFO模式參數有效，無論是GET還是POST方式都有效），例如： 當前訪問URL地址是 http://serverName/index.php/New/2013/06/01

那麼我們可以通過

1. echo I(‘path.1‘); // 輸出2013
2. echo I(‘path.2‘); // 輸出06
3. echo I(‘path.3‘); // 輸出01

data類型變數可以用於擷取不支援的變數類型的讀取，例如：

1. I(‘data.file1‘,‘‘,‘‘,$_FILES);

變數過濾

如果你沒有在調用I函數的時候指定過濾方法的話，系統會採用預設的過濾機制（由DEFAULT_FILTER配置），事實上，該參數的預設設定是：

1. // 系統預設的變數過濾機制
2. ‘DEFAULT_FILTER‘ => ‘htmlspecialchars‘

也就說，I方法的所有擷取變數如果沒有設定過濾方法的話都會進行htmlspecialchars過濾，那麼：

1. // 等同於 htmlspecialchars($_GET[‘name‘])
2. I(‘get.name‘);

同樣，該參數也可以設定支援多個過濾，例如：

1. ‘DEFAULT_FILTER‘ => ‘strip_tags,htmlspecialchars‘

設定後，我們在使用：

1. // 等同於 htmlspecialchars(strip_tags($_GET[‘name‘]))
2. I(‘get.name‘);

如果我們在使用I方法的時候 指定了過濾方法，那麼就會忽略DEFAULT_FILTER的設定，例如：

1. // 等同於 strip_tags($_GET[‘name‘])
2. echo I(‘get.name‘,‘‘,‘strip_tags‘);

I方法的第三個參數如果傳入函數名，則表示調用該函數對變數進行過濾並返回（在變數是數組的情況下自動使用array_map進行過濾處理），否則會調用PHP內建的filter_var方法進行過濾處理，例如：

1. I(‘post.email‘,‘‘,FILTER_VALIDATE_EMAIL);

表示 會對$_POST[‘email‘] 進行 格式驗證，如果不符合要求的話，返回Null 字元串。 （關於更多的驗證格式，可以參考 官方手冊的filter_var用法。） 或者可以用下面的字元標識方式：

1. I(‘post.email‘,‘‘,‘email‘);

可以支援的過濾名稱必須是filter_list方法中的有效值（不同的伺服器環境可能有所不同），可能支援的包括：

1. int
2. boolean
3. float
4. validate_regexp
5. validate_url
6. validate_email
7. validate_ip
8. string
9. stripped
10. encoded
11. special_chars
12. unsafe_raw
13. email
14. url
15. number_int
16. number_float
17. magic_quotes
18. callback

3.2.3版本開始支援進行正則匹配過濾，例如：

1. // 採用Regex進行變數過濾
2. I(‘get.name‘,‘‘,‘/^[A-Za-z]+$/‘);
3. I(‘get.id‘,0,‘/^\d+$/‘);

如果正則匹配不通過的話，則返回預設值。

在有些特殊的情況下，我們不希望進行任何過濾，即使DEFAULT_FILTER已經有所設定，可以使用：

1. // 下面兩種方式都不採用任何過濾方法
2. I(‘get.name‘,‘‘,‘‘);
3. I(‘get.id‘,‘‘,false);

一旦過濾參數設定為空白字串或者false，即表示不再進行任何的過濾。

變數修飾符

3.2.3版本開始，I函數支援對變數使用修飾符功能，可以更好的過濾變數。

用法如下： I(‘變數類型.變數名/修飾符‘);

例如：

1. I(‘get.id/d‘);
2. I(‘post.name/s‘);
3. I(‘post.ids/a‘);

可以使用的修飾符包括：

修飾符	作用
s	強制轉換為字串類型
d	強制轉換為整形類型
b	強制轉換為布爾類型
a	強制轉換為數群組類型
f	強制轉換為浮點類型

PHP-輸入變數