ホームページ > 記事 > バックエンド開発 > ベストプラクティスシリーズ (4) - PHP セキュリティの 3 つの柱: フィルタリング、検証、エスケープ検証と Laravel の基礎となるフィールド検証の実装

ベストプラクティスシリーズ (4) - PHP セキュリティの 3 つの柱: フィルタリング、検証、エスケープ検証と Laravel の基礎となるフィールド検証の実装

PHP中文网オリジナル: 2016-06-20 12:27:101085ブラウズ

2. 検証データ

PHP ネイティブ実装

入力データも重要です。フィルタリングとは異なり、検証では入力データから情報が削除されるのではなく、ユーザー入力が期待どおりであることを確認するだけです。電子メールアドレスの場合は、ユーザーが電子メールアドレスを入力していることを確認し、電話番号の場合は、ユーザーが電話番号を入力していることを確認します。

検証では、特定の形式に準拠した正しいデータがアプリケーションのストレージ層に保存されていることを確認します。無効なデータが見つかった場合は、データストレージ操作を中止し、対応するエラーメッセージを表示する必要があります。ユーザーに正しいデータを入力するよう通知します。検証により、データベース内の潜在的なエラーも回避できます。たとえば、MySQL が DATETIME 型の値を予期し、DATE 文字列が指定された場合、MySQL はエラーを報告するか、またはデフォルト値を使用します。無効なデータが破壊されます。

入力データの検証を実装するには、特定の FILTER_VALIDATE_* フラグを filter_var 関数に渡すことができます。PHP には、ブール値、電子メールアドレス、浮動小数点数、整数、IP、正規表現、URL を検証するためのフラグが用意されています。 (詳細については、http://php.net/manual/en/filter.filters.validate.php を参照してください)。次の例は、電子メールアドレスを検証する方法を示しています。

<?php
$input = &#39;yaojinbu@163.com&#39;;
$isEmail = filter_var($input, FILTER_VALIDATE_EMAIL);
if ($isEmail !== FALSE) {
    echo &#39;success&#39;;
} else {
    echo &#39;failed&#39;;
}

検証が成功した場合、filter_var の戻り値に特に注意してください。失敗すると false が返されます。

PHP コンポーネントの助けを借りて

filter_var 関数は検証用に多くの識別子を提供しますが、これは画一的なアプローチであり、次のことはできません。すべてのデータを検証するには、filter_var 関数に加えて、より複雑な検証関数を実行するのに役立つ次のコンポーネントもあります:

aura/filter
尊重/検証
シンフォニー/検証者

注:入力データが期待値に準拠し安全であることを確認するには、検証とフィルタリングの両方を行う必要があります。

Laraval でのデータ検証の実装

データ検証のほとんどのシナリオは、ユーザーが送信したデータに対する豊富な検証メソッドも提供します。 Laravel のデータ検証については、公式ドキュメント http://laravelacademy.org/post/3279.html を参照してください。ここでは、ユーザー登録を例として、検証メソッドが AuthController で定義されています: