PHP过滤器：验证过滤器与清理过滤器的使用

温馨提示：手机扫码可阅读当前文章!
文章简介：PHP过滤器是PHP内置的一组函数，用于检测、获取和过滤外部输入数据。这些函数可以有效地提高代码的安全性和可维护性，避免直接访问超全局变量带来的潜在风险。我们可以把PHP 过滤器用于验证和过滤来自非安全来源的数据，比如用户的输入，我们都可以...

PHP过滤器是PHP内置的一组函数，用于检测、获取和过滤外部输入数据。这些函数可以有效地提高代码的安全性和可维护性，避免直接访问超全局变量带来的潜在风险。我们可以把PHP 过滤器用于验证和过滤来自非安全来源的数据，比如用户的输入，我们都可以使用PHP 过滤器来验证和过滤来自非安全来源的数据。 测试、验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 PHP 的过滤器扩展的设计目的是使数据过滤更轻松快捷。在我们的网站应用中，几乎所有的 Web 应用程序都依赖外部的输入，这些些数据通常来自用户或其他应用程序（比如 web、API 服务），比如cookie数据、POST数据、GET数据、服务器变量等等，你不应该相信任何一个提交到你网站的数据。通过使用过滤器，我们基本能够确保应用程序获得正确、安全的输入类型。本文将为您介绍PHP过滤器的基本概念、使用方法和实战案例。

一、PHP过滤器概述

几乎所有的 Web 应用程序都依赖外部的输入，这些数据通常来自用户或其他应用程序（比如 web 服务），我们无法提前知道数据的安全性，但是PHP过滤器模块提供了一系列函数，用于处理外部输入数据。这些函数可以验证输入数据的存在性、类型和合法性，同时还可以对输入数据进行清洗，以消除潜在的安全隐患。过滤器函数主要分为两类：验证过滤器和清理过滤器。

1. 验证过滤器（Validating 过滤器）：用于严格检查输入数据的格式和类型，不符合规则则返回false。验证过滤器判断输入数据是否符合预期，以防止恶意攻击。

2. 清理过滤器（Sanitizing 过滤器）：用于移除输入数据中不适宜的字符或标签，确保输出数据的清洁和安全，该过滤器始终返回一个字符串。我们可以使用正则匹配的方法消除存在安全风险的字符，如XSS攻击。

二、PHP过滤器函数介绍

PHP过滤器模块提供了多个函数，以下是一些常用的过滤器函数：

1. filter_has_var()：检测指定类型的变量是否存在。

2. filter_input()：获取特定类型的外部输入数据，并可指定过滤器进行处理。

3. filter_var()：对单个变量进行过滤。

4. filter_id()：返回与指定名称的过滤器相关联的ID。

5. filter_list()：返回支持的过滤器列表。

6. filter_var_array()：获取多个变量并对其进行过滤。

三、实战案例

下面放我们我们将通过一些简单的实际案例，来演示如何使用PHP过滤器处理用户输入的数据，确保数据的安全性和准确性。

案例一：用户注册表单数据验证与清洗

假设我们有一个用户注册表单，需要对用户提交的数据进行验证和清洗。表单包括用户名、密码和电子邮件地址。

1. 创建注册表单（register.html）：

<!DOCTYPE html>
<html>
<head>
    <title>用户注册</title>
</head>
<body>
    <form action="register.php" method="post">
        用户名：<input type="text" name="username" />
        密码：<input type="password" name="password" />
        电子邮件：<input type="text" name="email" />
        <input type="submit" value="注册" />
    </form>
</body>
</html>

2. 编写注册处理程序（register.php）：

<?php
// 检查用户名是否存在
if (filter_has_var(INPUT_POST, 'username')) {
    $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
    // 这里可以对$username进行进一步的验证和处理
}
// 检查密码是否存在
if (filter_has_var(INPUT_POST, 'password')) {
    $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);
    // 这里可以对$password进行进一步的验证和处理
}
// 检查电子邮件是否存在
if (filter_has_var(INPUT_POST, 'email')) {
    $email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
    // 这里可以对$email进行进一步的验证和处理
}
// 注册逻辑...
?>

在这个实例中，我们首先使用filter_has_var()函数检查用户名、密码和电子邮件是否存在。如果存在，我们再使用filter_input()函数获取这些数据，并指定过滤器FILTER_SANITIZE_STRING进行清洗。这样可以有效地移除输入数据中的不适宜字符，提高数据的安全性。

案例二：验证输入

假设一个表单已经把数据提交到了PHP页面，那就让我们试着验证来自表单的输入。首先我们需要确认是否存在我们正在查找的输入数据，接着我们用 filter_input() 函数过滤输入的数据：

<?php
if(!filter_has_var(INPUT_POST, "url"))
{
echo("没有 url 参数");
}
else
{
if (!filter_input(INPUT_GET, "url", FILTER_VALIDATE_URL))
{
echo "不是一个合法的 URL";
}
else
{
echo "是一个合法的 URL";
}
}
?>

这个案例代码我们使用filter_has_var检测是否有一个来自POST的数据‘URL’，如果有我们再检测它是不是一个有效的URL数据。如果我们需要使用该数据，我们可以对该数据进行进化以后再使用。

<?php
$url = filter_input(INPUT_POST, "url", FILTER_SANITIZE_URL);
?>

案例三：Filter Callback过滤器

使用 Filter Callback：通过使用 FILTER_CALLBACK 过滤器，您可以调用自定义的函数，把它作为一个过滤器来使用。这样，您就拥有了数据过滤的完全控制权。您可以创建自己的自定义函数，也可以使用已存在的 PHP 函数。将你准备用到的过滤器的函数按指定选项的规定方法进行规定。

在关联数组中，带有名称 "options"。例如，下面的实例中，我们使用了一个自定义函数把所有 "_" 转换为空格：

<?php
function convertSpace($string) {
    return str_replace("_", " ", $string);
}
$string = "www_wsbjw_cn!";
echo filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace"));
?>

这段代码的结果如下所示：www.wsbjw.cn。这个案例代码会把所有 "_" 转换成空格：创建一个自定义函数 convertSpace，该函数接收一个字符串作为输入，并使用 str_replace() 函数将 "_" 替换为空格。调用 filter_var() 函数，它的参数是 FILTER_CALLBACK 过滤器以及包含我们自定义函数的数组。如果我们使用 FILTER_CALLBACK 过滤器，我们可以根据需要创建自己的数据过滤函数，从而实现对数据的完全控制。这不仅增强了代码的可读性和可维护性，而且也提高了代码的灵活性和可扩展性。

四、总结

PHP过滤器是处理外部输入数据的有效工具，可以帮助我们确保数据的安全性和准确性。通过使用验证过滤器和清理过滤器，我们可以对输入数据进行严格的检查和清洗，防止潜在的安全风险。在学习PHP过滤器时，可以按照六个阶段进行学习，但实际上不必等到所有阶段完成即可开始工作。对于初级岗位，学到第三或第四个阶段就足够了。同时，我们还推荐了解并实践PHP编码最佳实践，如代码规范、性能优化、安全性建议等，以提高您的PHP编程能力。