filtre
Que sont les filtres PHP ?
Les filtres PHP sont utilisés pour valider et filtrer les données provenant de sources non sécurisées.
Tester, valider et filtrer les entrées utilisateur ou les données personnalisées est une partie importante de toute application Web.
L'extension de filtre PHP est conçue pour rendre le filtrage des données plus facile et plus rapide.
Pourquoi utiliser des filtres ?
Presque toutes les applications Web reposent sur une entrée externe. Ces données proviennent généralement des utilisateurs ou d'autres applications (telles que des services Web). En utilisant des filtres, vous pouvez vous assurer que votre application obtient le type d'entrée correct.
Vous devez toujours filtrer les données externes !
Le filtrage des entrées est l'un des sujets les plus importants en matière de sécurité des applications.
Qu'est-ce que les données externes ? Données d'entrée à partir des formulaires Résultats de la requête de base de données
Fonctions et filtresPour filtrer les variables, utilisez l'une des fonctions de filtre suivantes :
· filter_var() - Filtrer une seule variable via un filtre spécifié
· filter_var_array() - Filtrer plusieurs variables via le même filtre ou des filtres différents
· filter_input_array - Obtenez plusieurs variables d'entrée et filtrez-les avec des filtres identiques ou différents
ci-dessous Dans l'exemple, nous utilisons la fonction filter_var() pour vérifier un entier :<?php $int = 123; if(!filter_var($int, FILTER_VALIDATE_INT)) { echo("不是一个合法的整数"); } else { echo("是个合法的整数"); } ?>Le code ci-dessus utilise le filtre "FILTER_VALIDATE_INT" pour filtrer les variables. Puisque cet entier est légal, le code ci-dessus affichera :
Si nous essayons d'utiliser une variable non entière (telle que "123abc"), il affichera : " L'entier n'est pas valide".
Pour une liste complète des fonctions et des filtres, visitez notre manuel de référence des filtres PHP.
Validation et désinfectionIl existe deux filtres :
Filtre de validation :
· Entrée utilisateur
· Règles de formatage strictes (telles que la validation d'URL ou d'e-mail)
· Aucune règle de formatage des données
· Renvoie toujours une chaîne
Options et indicateurs
Les options et les indicateurs sont utilisés pour spécifier Les filtres ajoutent des options de filtrage supplémentaires.
Différents filtres ont des options et des indicateurs différents.
Dans l'exemple ci-dessous, nous validons un entier en utilisant filter_var() avec les options "min_range" et "max_range" :
<?php $var=300; $int_options = array( "options"=>array ( "min_range"=>0, "max_range"=>256 ) ); if(!filter_var($var, FILTER_VALIDATE_INT, $int_options)) { echo("不是一个合法的整数"); } else { echo("是个合法的整数"); } ?>
Tout comme le code ci-dessus, les options doivent être mises dans a dans un tableau associé nommé "options". Si vous utilisez des indicateurs, ils n'ont pas besoin d'être dans un tableau.
Puisque l'entier est "300", il n'est pas dans la plage spécifiée, la sortie du code ci-dessus sera :
n'est pas un entier légal
Pour afficher Pour connaître la fonction complète et une liste de filtres, veuillez consulter notre manuel de référence des filtres PHP. Vous pouvez voir les options et les indicateurs disponibles pour chaque filtre.
Validation de la saisie
Essayons de valider la saisie du formulaire.
La première chose que nous devons faire est de confirmer que les données d'entrée que nous recherchons existent.
Ensuite, nous utilisons la fonction filter_input() pour filtrer les données d'entrée.
Dans l'exemple suivant, la variable d'entrée « email » est passée à la page PHP :
<?php if(!filter_has_var(INPUT_GET, "email")) { echo("没有 email 参数"); } else { if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL)) { echo "不是一个合法的 E-Mail"; } else { echo "是一个合法的 E-Mail"; } } ?>
Les résultats des tests de l'exemple ci-dessus sont les suivants :
Explication des exemples
L'exemple ci-dessus a une variable d'entrée (e-mail) transmise via le Méthode "GET":
1. Détectez s'il existe une variable d'entrée "email" de type "GET"
2 S'il existe une variable d'entrée, vérifiez s'il s'agit d'un e valide. -adresse mail
Assainir la saisie
Essayons de nettoyer l'URL transmise depuis le formulaire .
Tout d'abord, nous voulons confirmer que les données d'entrée que nous recherchons existent.
Ensuite, nous utilisons la fonction filter_input() pour purifier les données d'entrée.
Dans l'exemple suivant, la variable d'entrée "url" est passée à la page PHP :
<?php if(!filter_has_var(INPUT_GET, "url")) { echo("没有 url 参数"); } else { $url = filter_input(INPUT_GET, "url", FILTER_SANITIZE_URL); echo $url; } ?>
Explication de l'exemple
L'exemple ci-dessus a une méthode "GET" Variable d'entrée passée (url) :
1. Détecter s'il existe une variable d'entrée "url" de type "GET"
2 Si cette variable d'entrée existe, purifiez-la (supprimez les caractères illégaux) , et stockez-la dans la variable $url
Si la variable d'entrée est une chaîne similaire à celle-ci : "http://www.php.cn /", la variable $url purifiée est la suivante :
Filtrer plusieurs entrées
Les formulaires se composent généralement de plusieurs champs de saisie. Pour éviter les appels répétés aux fonctions filter_var ou filter_input, nous pouvons utiliser filter_var_array ou la fonction filter_input_array.
Dans cet exemple, nous utilisons la fonction filter_input_array() pour filtrer trois variables GET. Les variables GET reçues sont un nom, un âge et une adresse e-mail :
<?php $filters = array ( "name" => array ( "filter"=>FILTER_SANITIZE_STRING ), "age" => array ( "filter"=>FILTER_VALIDATE_INT, "options"=>array ( "min_range"=>1, "max_range"=>120 ) ), "email"=> FILTER_VALIDATE_EMAIL ); $result = filter_input_array(INPUT_GET, $filters); if (!$result["age"]) { echo("年龄必须在 1 到 120 之间。<br>"); } elseif(!$result["email"]) { echo("E-Mail 不合法<br>"); } else { echo("输入正确"); } ?>
Explication des exemples
L'exemple ci-dessus a trois variables d'entrée (nom, âge et email) :
1. Définissez un tableau contenant le nom de la variable d'entrée et le filtre pour la variable d'entrée spécifiée
2. Appelez la fonction filter_input_array(), les paramètres incluent les variables d'entrée GET et le tableau que vous venez de définir.
3. Détectez si les variables « age » et « email » dans la variable $result ont une entrée illégale. (S'il y a une entrée illégale, la variable d'entrée est FALSE après avoir utilisé la fonction filter_input_array().)
Le deuxième argument de la fonction filter_input_array() peut être un tableau ou l'ID d'un seul filtre.
Si le paramètre est l'ID d'un seul filtre, alors le filtre spécifié filtrera toutes les valeurs du tableau d'entrée.
Si le paramètre est un tableau, alors le tableau doit suivre les règles suivantes :
· " " ", etc. . Variable)
· La valeur de ce tableau doit être l'ID du filtre, ou un tableau spécifiant les filtres, les indicateurs et les options
Utiliser le rappel du filtre
En utilisant le filtre FILTER_CALLBACK, vous pouvez appeler une fonction personnalisée et utilisez-la comme filtre. De cette façon, nous avons un contrôle total sur le filtrage des données.
Vous pouvez créer vos propres fonctions personnalisées ou utiliser des fonctions PHP existantes.
Spécifiez la fonction du filtre que vous allez utiliser selon la méthode spécifiée de l'option spécifiée. Dans un tableau associatif, portant le nom "options".
Dans l'exemple ci-dessous, nous utilisons une fonction personnalisée pour convertir tous les "_" en espaces :
<?php function convertSpace($string) { return str_replace("_", ".", $string); } $string = "www_php_cn!"; echo filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace")); ?>
Le résultat du code ci-dessus est le suivant :
Explication des exemples
L'exemple ci-dessus convertit tous les "_" en ". " :
1. Créez une fonction qui remplace "_" par "."
2. Appelez la fonction filter_var(), dont les paramètres sont le filtre FILTER_CALLBACK et la fonction qui contient notre fonction Array<. 🎜>