PHP_015 过滤器

最新推荐文章于 2021-05-31 22:38:01 发布
最新推荐文章于 2021-05-31 22:38:01 发布
阅读量48 收藏
点赞数
原文链接:https://my.oschina.net/u/2317401/blog/382260
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

过滤器

PHP 过滤器用于验证和过滤来自非安全来源的数据。

测试、验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。

PHP 的过滤器扩展的设计目的是使数据过滤更轻松快捷。

外部数据

  • 来自表单的输入数据

  • Cookies

  • Web services data

  • 服务器变量

  • 数据库查询结果

您应该始终对外部数据进行过滤!

函数和过滤器

过滤器函数:

  • filter_var() - 通过一个指定的过滤器来过滤单一的变量

  • filter_var_array() - 通过相同的或不同的过滤器来过滤多个变量

  • filter_input - 获取一个输入变量,并对它进行过滤

  • filter_input_array - 获取多个输入变量,并通过相同的或不同的过滤器对它们进行过滤

我们用 filter_var() 函数验证了一个整数:

<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT))
{
echo("Integer is not valid");
}
else
{
echo("Integer is valid");
}
?>

上面的代码使用了 "FILTER_VALIDATE_INT" 过滤器来过滤变量。由于这个整数是合法的,因此上面的代码将输出:"Integer is valid"。

如果我们尝试使用一个非整数的变量(比如 "123abc"),则将输出:"Integer is not valid"。

Validating 和 Sanitizing

有两种过滤器:

Validating 过滤器:

  • 用于验证用户输入

  • 严格的格式规则(比如 URL 或 E-Mail 验证)

  • 如果成功则返回预期的类型,如果失败则返回 FALSE

Sanitizing 过滤器:

  • 用于允许或禁止字符串中指定的字符Are used to allow or disallow specified characters in a string

  • 无数据格式规则

  • 始终返回字符串

选项和标志

选项和标志用于向指定的过滤器添加额外的过滤选项。

不同的过滤器有不同的选项和标志。

在下面的实例中,用 filter_var() 和 "min_range" 以及 "max_range" 选项验证了一个整数:

<?php
$var=300;
$int_options = array(
"options"=>array
(
"min_range"=>0,
"max_range"=>256
)
);
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
{
echo("Integer is not valid");
}
else
{
echo("Integer is valid");
}
?>

选项必须放入一个名为 "options" 的相关数组中。如果使用标志,则不需在数组内。

由于整数是 "300",它不在指定的范围内,以上代码的输出将是 "Integer is not valid"。

验证输入

验证来自表单的输入。

第一件事情是确认是否存在我们正在查找的输入数据。

然后我们用 filter_input() 函数过滤输入的数据。

下面的实例中,输入变量 "email" 被传到 PHP 页面:

<?php
if(!filter_has_var(INPUT_GET, "email"))
{
echo("Input type does not exist");
}
else
{
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
{
echo "E-Mail is not valid";
}
else
{
echo "E-Mail is valid";
}
}
?>

解释

上面的实例有一个通过 "GET" 方法传送的输入变量 (email):

  1. 检测是否存在 "GET" 类型的 "email" 输入变量

  2. 如果存在输入变量,检测它是否是有效的 e-mail 地址

净化输入

清理从表单传来的 URL。

首先,我们要确认是否存在我们正在查找的输入数据。

然后,我们用 filter_input() 函数来净化输入数据。

在下面的实例中,输入变量 "url" 被传到 PHP 页面:

<?php
if(!filter_has_var(INPUT_POST, "url"))
{
echo("Input type does not exist");
}
else
{
$url = filter_input(INPUT_POST,
 
"url", FILTER_SANITIZE_URL);
}
?>

解释

上面的实例有一个通过 "POST" 方法传送的输入变量 (url):

  1. 检测是否存在 "POST" 类型的 "url" 输入变量

  2. 如果存在此输入变量,对其进行净化(删除非法字符),并将其存储在 $url 变量中

假如输入变量是一个类似这样的字符串:"http://www.deååmøøo.com/",则净化后的 $url 变量如下所示:

http://www.demo.com/

过滤多输入

表单通常由多个输入字段组成。为了避免对 filter_var 或 filter_input 函数重复调用,我们可以使用 filter_var_array the filter_input_array 函数。

使用 filter_input_array() 函数来过滤三个 GET 变量。接收到的 GET 变量是一个名字、一个年龄以及一个 e-mail 地址:

<?php
$filters = array
  (
  "name" => array
    (
    "filter"=>FILTER_SANITIZE_STRING
    ),
  "age" => array
    (
    "filter"=>FILTER_VALIDATE_INT,
    "options"=>array
      (
      "min_range"=>1,
      "max_range"=>120
      )
    ),
  "email"=> FILTER_VALIDATE_EMAIL
  );
$result = filter_input_array(INPUT_GET, $filters);
if (!$result["age"])
  {
  echo("Age must be a number between 1 and 120.<br>");
  }
elseif(!$result["email"])
  {
  echo("E-Mail is not valid.<br>");
  }
else
  {
  echo("User input is valid");
  }
?>

上面的实例有三个通过 "GET" 方法传送的输入变量 (name、age 和 email):

  1. 设置一个数组,其中包含了输入变量的名称和用于指定的输入变量的过滤器

  2. 调用 filter_input_array() 函数,参数包括 GET 输入变量及刚才设置的数组

  3. 检测 $result 变量中的 "age" 和 "email" 变量是否有非法的输入。(如果存在非法输入,在使用 filter_input_array() 函数之后,输入变量为 FALSE。)

filter_input_array() 函数的第二个参数可以是数组或单一过滤器的 ID。

如果该参数是单一过滤器的 ID,那么这个指定的过滤器会过滤输入数组中所有的值。

如果该参数是一个数组,那么此数组必须遵循下面的规则:

  • 必须是一个关联数组,其中包含的输入变量是数组的键(比如 "age" 输入变量)

  • 此数组的值必须是过滤器的 ID ,或者是规定了过滤器、标志和选项的数组

Filter Callback

通过使用 FILTER_CALLBACK 过滤器,可以调用自定义的函数,把它作为一个过滤器来使用。这样,我们就拥有了数据过滤的完全控制权。

您可以创建自己的自定义函数,也可以使用已存在的 PHP 函数。

将您准备用到的过滤器的函数,按指定选项的规定方法进行规定。在关联数组中,带有名称 "options"。

在下面的实例中,我们使用了一个自定义的函数把所有 "_" 转换为空格:

<?php
function convertSpace($string)
{
return str_replace("_", " ", $string);
}
$string = "Peter_is_a_great_guy!";
echo filter_var($string, FILTER_CALLBACK,
array("options"=>"convertSpace"));
?>

上面代码的结果如下所示:

Peter is a great guy!

解释

上面的实例把所有 "_" 转换成空格:

  1. 创建一个把 "_" 替换为空格的函数

  2. 调用 filter_var() 函数,它的参数是 FILTER_CALLBACK 过滤器以及包含我们的函数的数组

Filter 函数

PHP:指示支持该函数的最早的 PHP 版本。

函数描述PHP
filter_has_var()检查是否存在指定输入类型的变量。5
filter_id()返回指定过滤器的 ID 号。5
filter_input()从脚本外部获取输入,并进行过滤。5
filter_input_array()从脚本外部获取多项输入,并进行过滤。5
filter_list()返回包含所有得到支持的过滤器的一个数组。5
filter_var_array()获取多个变量,并进行过滤。5
filter_var()获取一个变量,并进行过滤。5

PHP Filters

ID 名称描述
FILTER_CALLBACK调用用户自定义函数来过滤数据。
FILTER_SANITIZE_STRING去除标签,去除或编码特殊字符。
FILTER_SANITIZE_STRIPPED"string" 过滤器的别名。
FILTER_SANITIZE_ENCODEDURL-encode 字符串,去除或编码特殊字符。
FILTER_SANITIZE_SPECIAL_CHARSHTML 转义字符 '"<>& 以及 ASCII 值小于 32 的字符。
FILTER_SANITIZE_EMAIL删除所有字符,除了字母、数字以及 !#$%&'*+-/=?^_`{|}~@.[]
FILTER_SANITIZE_URL删除所有字符,除了字母、数字以及 $-_.+!*'(),{}|\^~[]`<>#%";/?:@&=
FILTER_SANITIZE_NUMBER_INT删除所有字符,除了数字和 +-
FILTER_SANITIZE_NUMBER_FLOAT删除所有字符,除了数字、+- 以及 .,eE
FILTER_SANITIZE_MAGIC_QUOTES应用 addslashes()。
FILTER_UNSAFE_RAW不进行任何过滤,去除或编码特殊字符。
FILTER_VALIDATE_INT把值作为整数来验证。
FILTER_VALIDATE_BOOLEAN把值作为布尔选项来验证。如果是 "1"、"true"、"on" 和 "yes",则返回 TRUE。如果是 "0"、"false"、"off"、"no" 和 "",则返回 FALSE。否则返回 NULL。
FILTER_VALIDATE_FLOAT把值作为浮点数来验证。
FILTER_VALIDATE_REGEXP根据 regexp(一种兼容 Perl 的正则表达式)来验证值。
FILTER_VALIDATE_URL把值作为 URL 来验证。
FILTER_VALIDATE_EMAIL把值作为 e-mail 地址来验证。
FILTER_VALIDATE_IP把值作为 IP 地址来验证,只限 IPv4 或 IPv6 或 不是来自私有或者保留的范围。

 

转载于:https://my.oschina.net/u/2317401/blog/382260

weixin_33961829
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php常用的安全过滤函数集锦
10-25
由于越来越多的项目开始使用框架,所以,很多的程序员也不在关心安全的问题!因为框架已经帮我们几乎完美的处理了!但是,个人认为,我们还是需要了解一下常用的安全处理函数!
php+安全过滤+函数,PHP安全过滤函数有哪些?
weixin_32484897的博客
04-07 958
PHP安全过滤函数有:1、stripslashes函数;2、htmlspecialchars函数;3、htmlentities函数;4、strip_tags函数;5、intval函数等等。现代互联网中,我们经常要 从世界各地的用户中获得输入数据。但是,我们都知道“永远不能相信那些用户输入的数据”。之前做PHP开发的时候,小网站、低需求,也产生了几个不安全的开发作品。PHP的安全过滤函数的使用可以有...
php常见过滤函数(实用)
心有猛虎 细嗅蔷薇
01-24 6591
stripslashes函数 删除反斜杠: <?php echo stripslashes("Who\'s Bill Gates?"); ?> htmlspecialchars函数 <?php $str = "This is some bold text."; echo htmlspecialchars($str); ?> 把 转换为实体常用于防
Filter php自带过滤函数
zhyke
08-29 1235
PHP Filter 简介 PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 是一个很有用的方法,但是自己用的很少.所以专门记录下.以后可以用 基本知识 INPUT_xxx : 这种表示的是你要校验的参数是从哪里获得的.比如INPUT_GET,那么方法就会从$_GET中取对应的变量值进行校验 INPUT_XXX : INPUT_GET INPUT_PO...
ThinkPHP6.0使用twig作为模板引擎及自定义过滤器
彭世瑜的博客
05-31 1459
ThinkPHP自带的模板引擎用起来很不顺手,好在找到了一个和Jinja2很类似的一个一个模板引擎Twig,可以集成到ThinkPHP中。 文档: https://github.com/yunwuxin/think-twig 安装 composer require yunwuxin/think-twig 修改配置config/view.php <?php return [ // 模板引擎类型使用Think // 'type' => 'Think',
php 过滤器实现代码
10-28
在了解PHP过滤器的实现代码之前,首先需要明确数据过滤和验证的重要性。随着网络环境的发展,用户与网站的交互变得更加频繁,用户不仅是信息的接收者,也是内容的创造者。因此,如何有效地验证用户提交的数据,确保...
PHP Filter过滤器全面解析
10-21
PHP Filter过滤器PHP中用于处理和验证非安全来源数据的工具,特别是在处理用户输入时。这些过滤器有助于确保应用程序接收到的是预期的数据类型,从而提高应用的安全性和稳定性。过滤器扩展使得数据过滤过程变得...
PHP内置过滤器FILTER使用实例
10-25
PHP内置过滤器FILTER是PHP 5.2版本引入的一个强大特性,主要用于数据验证和纠错。这个扩展在处理来自不可信来源的数据,比如HTML表单提交的信息时,显得尤为重要。FILTERS提供了一种方法来确保数据的安全性和准确性...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
PHP过滤器 filter_has_var() 函数用法实例分析
10-15
主要介绍了PHP过滤器 filter_has_var() 函数用法,结合实例形式分析了PHP过滤器 filter_has_var() 函数基本功能、原理、用法及操作注意事项,需要的朋友可以参考下
php 自定义过滤函数!!!
可爱的狼
03-15 460
/*************************************************** 功能:过滤html代码 ***************************************************/ function glhtml($string){ $string = str_replace(array('&amp;amp;', '&amp;qu...
php过滤机制,php过滤函数
weixin_29174141的博客
03-23 109
php 利用filter 扩展编写的参数处理类。http://www.blags.org/php-security-filter-function/exp:首先引入文件include 'filter.php'$email = CFilter::Email($_POST['email']);验证成功返回字符串,反之返回false。1.[代码]php filter/*** @参数验证函数* @meth...
Filter PHP 过滤器\验证器
王兆镇的博客
10-30 1625
PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 Filter 函数是 PHP 核心的组成部分。无需安装即可使用这些函数。 PHP:指示支持该函数的最早的 PHP 版本 php5。 函数 描述 PHP filter_has_var() 检查是否存在指定输入类型的变量。 5 filter_id() 返回指定过滤器的 ID 号。 5 filter_input() 从脚本外部获取输入,并进行过滤。 5 filter_input_array() 从脚本外部获取多项
比较好用的PHP防注入漏洞过滤函数代码
★昔梦无痕★
03-15 5209
<?php //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc()) { $_GET = sec($_GET); $_POST = sec($_POST); $_COOKIE = sec($_COOKIE); $_FILES = sec($_FI
php函数的参数的过滤方法,PHP参数过滤的函数
weixin_30074329的博客
03-26 408
stripslashesstripslashes — 反引用一个引用字符串说明string stripslashes ( string $str )反引用一个引用字符串。Note:如果 magic_quotes_sybase 项开启,反斜线将被去除,但是两个反斜线将会被替换成一个。一个使用范例是使用 PHP 检测 magic_quotes_gpc 配置项的 开启情况(在 PHP 5.4之 前默认是...
php过滤函数http,PHP函数http
weixin_30369183的博客
03-29 136
什么是http_build_query?使用给出的关联(或下标)数组生成一个经过 URL-encode 的请求字符串。参数 formdata 可以是数组或包含属性的对象。一个 formdata 数组可以是简单的一维结构,也可以是由数组组成的数组(其依次可以包含其它数组)。如果在基础数组中使用了数字下标同时给出了 numeric_prefix 参数,此参数值将会作为基础数组中的数字下标元素的前缀。这...
php 中文过滤器,php过滤器函数有哪些?php过滤器函数的介绍
weixin_42542420的博客
04-02 109
本篇文章给大家带来的内容是关于php过滤器函数有哪些?php过滤器函数的介绍,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。filter_has_var:检测是否存在指定类型的变量。接受两个参数,第一个是变量类型,第二个是变量名。filter_id:返回与某个特定名称的过滤器相关联的id。filter_list:返回所支持的过滤器列表。filter_input:通过名称获取特定的外...
PHP安全处理,过滤函数
哈尼熊熊的博客
03-14 2163
PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等. 1.mysql_real_escape_string() 这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在
PHP-自定义流过滤器
ホシゾラの博客
08-31 305
最近在看《Modern PHP》,发现以前没有用过流过滤器,学习记录一下。 桶:总所周知(好吧,我才知道),PHP流会把数据分成按次序排列的桶,一个桶中城防的数据流量是固定的(如4096字节)。流过滤器一次能接受一个或多个桶。一定时间内过滤器接收到的桶叫做桶队列。 PS:每个桶对象都有两个公开属性:data和datalen.分别是桶内容和内容长度。 &lt;?php /** * 脏词过滤...
php sql注入过滤器
最新发布
09-20
PHP提供了一些内置的函数来防止SQL注入攻击,比如使用mysqli_real_escape_string...此外,还可以使用过滤函数filter_var和filter_input来过滤用户输入,确保输入的数据符合预期的格式和类型,从而减少SQL注入的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值