مرشحات (Filter) في PHP

تستخدم مرشحات PHP لت��ية وتصفية البيانات القادمة من مصادر غير آمنة مثل مدخلات المستخدم.

ما هو مرشحات PHP؟

تستخدم مرشحات PHP لت��ية وتصفية البيانات القادمة من مصادر غير آمنة.

ت��ية وتصفية المدخلات المستخدمة أو البيانات المخصصة هي جزء مهم أي تطبيق ويب.

هدف تصميم توسعة مرشحات PHP هو جعل تصفية البيانات أسهل وأسرع.

لماذا استخدام المرشحات؟

معظم تطبيقات الويب تعتمد على المدخلات الخارجية. هذه البيانات عادة ما تأتي من المستخدمين أو تطبيقات أخرى (مثل خدمات الويب). من خلال استخدام المرشحات، يمكنك التأكد من أن التطبيق يحصل على نوع المدخلات الصحيح.

您应该始终对外部数据进行过滤!

输入过滤是最重要的应用程序安全课题之一。

什么是外部数据?

  • 来自表单的输入数据
  • Cookies
  • 服务器变量
  • 数据库查询结果

函数和过滤器

如需过滤变量,请使用下面的过滤器函数之一:

  • filter_var() - 通过一个指定的过滤器来过滤单一的变量
  • filter_var_array() - 通过相同的或不同的过滤器来过滤多个变量
  • filter_input - 获取一个输入变量,并对它进行过滤
  • filter_input_array - 获取多个输入变量,并通过相同的或不同的过滤器对它们进行过滤

在下面的例子中,我们用 filter_var() 函数验证了一个整数:

<?php
$int = 123;
if(!filter_var($int, FILTER_VALIDATE_INT))
 {
 echo(المرل الفسية ميجاة);
 }
else
 {
 echo(المرل السادليم);
 }
?>

上面的代码使用了 "FILTER_VALIDATE_INT" 过滤器来过滤变量。由于这个整数是合法的,因此代码的输出是:"Integer is valid"。

假如我们尝试使用一个非整数的变量,则输出是:"Integer is not valid"。

如需完整的函数和过滤器列表,请访问我们的 دليل PHP Filter

Validating 和 Sanitizing

有两种过滤器:

Validating 过滤器:

  • 用于验证用户输入
  • 严格的格式规则(比如 URL 或 E-Mail 验证)
  • 如果成功则返回预期的类型,如果失败则返回 FALSE

Sanitizing 过滤器:

  • 用于允许或禁止字符串中指定的字符
  • 无数据格式规则
  • 始终返回字符串

选项和标志

选项和标志用于向指定的过滤器添加额外的过滤选项。

不同的过滤器有不同的选项和标志。

العات التميجاة السادليم الفنتجاة filter_var() الفنتجاة "min_range" الفنتجاة "max_range" السادليم:

<?php
$var=300;
$int_options = array(
"options"=>array
 (
 "min_range"=>0,
 "max_range"=>256
 )
);
if(!filter_var($var, FILTER_VALIDATE_INT, $int_options))
 {
 echo(المرل الفسية ميجاة);
 }
else
 {
 echo(المرل السادليم);
 }
?>

مثل الكود السابق، يجب وضع الخيارات في مصفوفة تحمل الاسم "options". إذا تم استخدام مؤشرات، فإنها لا تحتاج إلى أن تكون داخل المصفوفة.

بما أن العدد هو "300"، فهو لا يتوفر في النطاق المحدد، فإن مخرج الكود سيكون "عدد غير صالح".

للحصول على قائمة كاملة من الدوال والمرشحات، يرجى زيارة دليل PHP Filterيمكنك رؤية خيارات ومؤشرات كل مبدأ تصفية المتاحة.

تحقق من المدخل

دعونا نحاول التحقق من المدخل الذي يأتي من النموذج.

أول شيء يجب علينا القيام به هو التأكد من وجود البيانات المدخلة التي نبحث عنها.

ثم نستخدم دالة filter_input() لفرز البيانات المدخلة.

في المثال التالي، يتم نقل متغير "email" إلى صفحة PHP:

<?php
if(!filter_has_var(INPUT_GET, "email"))
 {
 echo("نوع المدخل غير موجود");
 }
else
 {
 if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL))
  {
  echo "بريد إلكتروني غير صالح";
  }
 else
  {
  echo "بريد إلكتروني صالح";
  }
 }
?>

例子解释:

في المثال السابق، هناك متغير مدخل (email) يتم نقلها عبر طريقة "GET":

  1. تحقق من وجود متغير مدخل "email" من نوع "GET"
  2. إذا كانت تتوفر متغيرات مدخلة، تحقق من أنها عنوان بريد إلكتروني صالح

تنظيف المدخل

دعونا نحاول تنظيف URL التي تأتي من النموذج.

أولاً، يجب علينا التأكد من وجود البيانات المدخلة التي نبحث عنها.

ثم نستخدم دالة filter_input() لتنظيف البيانات المدخلة.

في المثال التالي، يتم نقل متغير "url" إلى صفحة PHP:

<?php
if(!filter_has_var(INPUT_POST, "url"))
 {
 echo("نوع المدخل غير موجود");
 }
else
 {
 $url = filter_input(INPUT_POST, "url", FILTER_SANITIZE_URL);
 }
?>

例子解释:

في المثال السابق، هناك متغير مدخل (url) يتم نقلها عبر طريقة "POST":

  1. تحقق من وجود متغير مدخل "url" من نوع "POST"
  2. إذا كانت تتوفر هذه المتغيرات المدخلة، قم بتنظيفها (حذف الأحرف غير المشروعة) وفقها في المتغير $url

إذا كانت المتغيرات المدخلة تشبه هذا: "http://www.W3非o法ol.com.c字符n/"، فإن المتغير $url الم净化 يجب أن يكون مثل هذا:

http://www.codew3c.com/

تصفية إدخالات متعددة

عادة ما تكون النماذج مصنوعة من عدة حقول إدخال. لتجنب تكرار استدعاء filter_var أو filter_input، يمكننا استخدام filter_var_array أو filter_input_array.

في هذا المثال، نستخدم دالة filter_input_array() لتحديد ثلاث متغيرات GET. متغيرات GET المرسلة هي اسم، عُمر وبريد إلكتروني:

<?php
$filters = array
 (
 "name" => array
  (
  "filter"=>FILTER_SANITIZE_STRING
  ),
 "age" => array
  (
  "filter"=>FILTER_VALIDATE_INT,
  "options"=>array
   (
   "min_range"=>1,
   "max_range"=>120
   )
  ),
 "email"=> FILTER_VALIDATE_EMAIL,
 );
$result = filter_input_array(INPUT_GET, $filters);
if (!$result["age"])
 {
 echo("العمر يجب أن يكون عددًا بين 1 و120.<br />");
 }
elseif (!$result["email"])
 {
 echo("بريد الإلكتروني غير صالح.<br />");
 }
else
 {
 echo("إدخال المستخدم صالح");
 }
?>

例子解释:

في هذا المثال، هناك ثلاث متغيرات إدخال من خلال طريقة "GET" (الاسم، العمر والبريد الإلكتروني)

  1. إعداد مجموعة تحتوي على أسماء متغيرات الإدخال، بالإضافة إلى المرشح المستخدم لتحديد متغير الإدخال المحدد
  2. اطبق دالة filter_input_array، حيث تشمل المعلمات متغيرات الإدخال GET والعدد الذي تم إعداده مسبقًا
  3. تحقق من أن "age" و "email" من المتغيرات في $result غير إدخالات غير قانونية. (إذا كانت هناك إدخالات غير قانونية،)

المعامل الثاني لـ filter_input_array() يمكن أن يكون مجموعة أو معرف مرشح واحد.

إذا كان هذا المعامل هو معرف مرشح واحد، فإن المرشح المحدد سيقوم بتصفية جميع القيم في مجموعة الإدخال.

إذا كان هذا المعامل هو مجموعة، فإن هذه المجموعة يجب أن تتبع القواعد التالية:

  • 必须是一个关联数组,其中包含的输入变量是数组的键(比如 "age" 输入变量)
  • 此数组的值必须是过滤器的 ID ,或者是规定了过滤器、标志以及选项的数组

使用 Filter Callback

通过使用 FILTER_CALLBACK 过滤器,可以调用自定义的函数,把它作为一个过滤器来使用。这样,我们就拥有了数据过滤的完全控制权。

您可以创建自己的自定义函数,也可以使用已有的 PHP 函数。

规定您准备用到过滤器函数的方法,与规定选项的方法相同。

在下面的例子中,我们使用了一个自定义的函数把所有 "_" 转换为空格:

<?php
function convertSpace($string)
{
return str_replace("_", " ", $string);
}
$string = "Peter_is_a_great_guy!";
echo filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace"));
?>

以上代码的结果是这样的:

Peter is a great guy!

例子解释:

上面的例子把所有 "_" 转换成空格:

  1. 创建一个把 "_" 替换为空格的函数
  2. 调用 filter_var() 函数,它的参数是 FILTER_CALLBACK 过滤器以及包含我们的函数的数组