PHP 過濾器用於驗(yàn)證和過濾來自非安全來源的數(shù)據(jù)，例如使用者的輸入。

什麼是 PHP 過濾器？

PHP 篩選器用於驗(yàn)證和過濾來自非安全性來源的資料。

測試、驗(yàn)證和過濾使用者輸入或自訂資料是任何 Web 應(yīng)用程式的重要組成部分。

PHP 的過濾器擴(kuò)充功能的設(shè)計(jì)目的是讓資料過濾更輕鬆快速。

為什麼要使用篩選器？

幾乎所有的 Web 應(yīng)用程式都依賴外部的輸入。這些數(shù)據(jù)通常來自使用者或其他應(yīng)用程式（例如 web 服務(wù)）。透過使用過濾器，您能夠確保應(yīng)用程式獲得正確的輸入類型。

您應(yīng)該始終對外部資料進(jìn)行過濾！

輸入過濾是最重要的應(yīng)用程式安全主題之一。

什麼是外部資料？

1. 來自表單的輸入資料

2. Cookies

3. Web services data

4. 伺服器變數(shù)

5 .資料庫查詢結(jié)果

函數(shù)與篩選器

#如需篩選變量，請使用下面的篩選函數(shù)之一：

??filter_var() - 透過一個(gè)指定的過濾器來過濾單一的變數(shù)

??filter_var_array() - 透過相同的或不同的過濾器來過濾多個(gè)變數(shù)

? filter_input - 取得一個(gè)輸入變量，並對它進(jìn)行過濾

??filter_input_array - 取得多個(gè)輸入變量，並透過相同的或不同的過濾器對它們進(jìn)行過濾

在下面的實(shí)例中，我們用filter_var() 函數(shù)驗(yàn)證了一個(gè)整數(shù)：

<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT))
{
echo("不是一個(gè)合法的整數(shù)");
}
else
{
echo("是個(gè)合法的整數(shù)");
}
?>

上面的程式碼使用了"FILTER_VALIDATE_INT" 過濾器來過濾變數(shù)。由於這個(gè)整數(shù)是合法的，因此上面的程式碼將輸出：

是個(gè)合法的整數(shù)

如果我們嘗試使用一個(gè)非整數(shù)的變數(shù)（例如"123abc"），則輸出："Integer is not valid"。

如需查看完整的函數(shù)和篩選器列表，請?jiān)煸L我們的?PHP Filter 參考手冊。

Validating 和Sanitizing

有兩個(gè)篩選器：

Validating 過濾器：

??用於驗(yàn)證使用者輸入

??嚴(yán)格的格式規(guī)則（例如URL 或E-Mail 驗(yàn)證）

??如果成功則回傳預(yù)期的類型，如果失敗則傳回FALSE

Sanitizing 篩選器：

??用於允許或禁止字串中指定的字元

??無資料格式規(guī)則

??總是傳回字串

選項(xiàng)和標(biāo)誌

#選項(xiàng)和標(biāo)誌用於為指定的篩選器新增額外的篩選選項(xiàng)。

不同的濾鏡有不同的選項(xiàng)和標(biāo)誌。

在下面的實(shí)例中，我們用filter_var() 和"min_range" 以及"max_range" 選項(xiàng)驗(yàn)證了一個(gè)整數(shù)：

<?php
$var=300;
$int_options = array(
"options"=>array
(
"min_range"=>0,
"max_range"=>256
)
);
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
echo("不是一個(gè)合法的整數(shù)");
}
else
{
echo("是個(gè)合法的整數(shù)");
}
?>

就像上面的程式碼一樣，選項(xiàng)必須放入一個(gè)名為" options" 的相關(guān)數(shù)組中。如果使用標(biāo)誌，則不需要在數(shù)組內(nèi)。

由於整數(shù)是"300"，它不在指定的範(fàn)圍內(nèi)，以上程式碼的輸出將會(huì)是：

##不是一個(gè)合法的整數(shù)

如需查看完整的函數(shù)和篩選器列表，請?jiān)煸L我們的?PHP Filter 參考手冊。您可以看到每個(gè)過濾器的可用選項(xiàng)和標(biāo)誌。

驗(yàn)證輸入

#讓我們試著驗(yàn)證來自表單的輸入。

我們需要做的第一件事情是確認(rèn)是否存在我們正在尋找的輸入資料。

然後我們用 filter_input() 函數(shù)過濾輸入的資料。

在下面的實(shí)例中，輸入變數(shù)"email" 被傳到PHP 頁面：

<?php
if(!filter_has_var(INPUT_GET, "email"))
{
echo("沒有 email 參數(shù)");
}
else
{
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
{
echo "不是一個(gè)合法的 E-Mail";
}
else
{
echo "是一個(gè)合法的 E-Mail";
}
}
?>

以上實(shí)例測試結(jié)果如下：

實(shí)例解釋

上面的實(shí)例有一個(gè)透過"GET" 方法傳送的輸入變數(shù)(email)：

檢測是否存在"GET" 類型的"email"輸入變數(shù)

如果存在輸入變量，偵測它是否為有效的e-mail 位址

淨(jìng)化輸入

讓我們試著清理一下從表單傳來的URL。

首先，我們要確認(rèn)是否存在我們正在尋找的輸入資料。

然後，我們用 filter_input() 函數(shù)來淨(jìng)化輸入資料。

在下面的實(shí)例中，輸入變數(shù)"url" 被傳到PHP 頁面：

<?php
if(!filter_has_var(INPUT_GET, "url"))
{
echo("沒有 url 參數(shù)");
}
else
{
$url = filter_input(INPUT_GET, 
"url", FILTER_SANITIZE_URL);
echo $url;
}
?>

實(shí)例解釋

上面的實(shí)例有一個(gè)通過"GET" 方法傳送的輸入變數(shù)(url)：

偵測是否存在"GET" 類型的"url" 輸入變數(shù)

如果存在此輸入變量，對其進(jìn)行淨(jìng)化（刪除非法字元），並將其儲(chǔ)存在$url 變數(shù)中

假如輸入變數(shù)是類似這樣的字串："http://www.ru??no??ob.com/"，則淨(jìng)化後的$url 變數(shù)如下所示：

#過濾多個(gè)輸入

表單通常由多個(gè)輸入欄位組成。為了避免對 filter_var 或 filter_input 函數(shù)重複調(diào)用，我們可以使用 filter_var_array 或 the filter_input_array 函數(shù)。

在本例中，我們使用 filter_input_array() 函數(shù)來過濾三個(gè) GET 變數(shù)。接收到的 GET 變數(shù)是一個(gè)名字、一個(gè)年齡、一個(gè) e-mail 位址：

<?php
$filters = array
(
"name" => array
(
"filter"=>FILTER_SANITIZE_STRING
),
"age" => array
(
"filter"=>FILTER_VALIDATE_INT,
"options"=>array
(
"min_range"=>1,
"max_range"=>120
)
),
"email"=> FILTER_VALIDATE_EMAIL
);
$result = filter_input_array(INPUT_GET, $filters);
if (!$result["age"])
{
echo("年齡必須在 1 到 120 之間。<br>");
}
elseif(!$result["email"])
{
echo("E-Mail 不合法<br>");
}
else
{
echo("輸入正確");
}
?>

實(shí)例解釋#

上面的實(shí)例有三個(gè)透過"GET" 方法傳送的輸入變數(shù)(name、age 和email)：

1. 設(shè)定一個(gè)數(shù)組，其中包含了輸入變數(shù)的名稱和用於指定的輸入變數(shù)的篩選器

2. 呼叫filter_input_array() 函數(shù)，參數(shù)包含GET 輸入變數(shù)及剛才設(shè)定的陣列

3. 偵測$result 變數(shù)中的"age" 和"email" 變數(shù)是否有非法的輸入。 （如果有非法輸入，則在使用 filter_input_array() 函數(shù)之後，輸入變數(shù)為 FALSE。）

filter_input_array() 函數(shù)的第二個(gè)參數(shù)可以是陣列或單一篩選器的 ID。

如果該參數(shù)是單一過濾器的 ID，那麼這個(gè)指定的過濾器會(huì)過濾輸入數(shù)組中所有的值。

如果該參數(shù)是一個(gè)數(shù)組，那麼此數(shù)組必須遵循下面的規(guī)則：

必須是一個(gè)關(guān)聯(lián)數(shù)組，其中包含的輸入變數(shù)是數(shù)組的鍵（例如"age" 輸入變量)

此數(shù)組的值必須是過濾器的ID ，或者是規(guī)定了過濾器、標(biāo)誌和選項(xiàng)的數(shù)組

使用Filter Callback

透過使用FILTER_CALLBACK 過濾器，可以呼叫自訂的函數(shù)，把它當(dāng)作一個(gè)過濾器來使用。這樣，我們就擁有了資料過濾的完全控制權(quán)。

您可以建立自己的自訂函數(shù)，也可以使用已存在的 PHP 函數(shù)。

將您準(zhǔn)備用到的篩選器的函數(shù)，依照指定選項(xiàng)的規(guī)定方法進(jìn)行規(guī)定。在關(guān)聯(lián)數(shù)組中，帶有名稱 "options"。

在下面的實(shí)例中，我們使用了一個(gè)自訂的函數(shù)把所有"_" 轉(zhuǎn)換為空格：

<?php
function convertSpace($string)
{
return str_replace("_", ".", $string);
}
$string = "www_php_com!";
echo filter_var($string, FILTER_CALLBACK,
array("options"=>"convertSpace"));
?>

上面程式碼的結(jié)果如下所示：

www.php.com

實(shí)例解釋

上面的實(shí)例把所有"_" 轉(zhuǎn)換成"." ：

1. 建立一個(gè)把"_" 替換為"." 的函數(shù)

2. 呼叫filter_var() 函數(shù)，它的參數(shù)是FILTER_CALLBACK 過濾器以及包含我們的函數(shù)的陣列