PHPフィルター（フィルター）

PHP フィルターは、ユーザー入力などの安全でないソースからのデータを検証およびフィルターするために使用されます。

PHPフィルターとは何ですか?

PHP フィルターは、安全でないソースからのデータを検証およびフィルターするために使用されます。

ユーザー入力またはカスタム データの検証とフィルタリングは、Web アプリケーションの重要な部分です。

PHP のフィルター拡張機能は、データのフィルター処理を簡単かつ高速にするように設計されています。

なぜフィルターを使用するのですか?

ほぼすべての Web アプリケーションは外部入力に依存しています。通常、このデータはユーザーまたは他のアプリケーション (Web サービスなど) から取得されます。フィルターを使用すると、アプリケーションが正しい入力タイプを取得できるようになります。

常に外部データをフィルタリングする必要があります。

入力フィルタリングは、アプリケーションのセキュリティの最も重要なトピックの 1 つです。

外部データとは何ですか?

• フォームからデータを入力
• クッキー
• サーバー変数
• データベースクエリ結果

関数とフィルター

変数をフィルターするには、以下のいずれかのフィルター関数を使用します:

• filter_var() - 指定されたフィルターで単一の変数をフィルターします
• filter_var_array() - 同じまたは異なるフィルターで複数の変数をフィルターします
• filter_input - 入力変数を取得してフィルターします
• filter_input_array - 複数の入力変数を取得し、同じまたは異なるフィルターを通してフィルターします

以下の例では、filter_var() 関数を使用して整数を検証します。 リーリー

上記のコードは、「FILTER_VALIDATE_INT」フィルターを使用して変数をフィルター処理します。この整数は有効であるため、コードの出力は「整数は有効です」となります。

整数以外の変数を使用しようとすると、「整数が無効です」という出力が表示されます。

関数とフィルターの完全なリストについては、PHP フィルター リファレンス マニュアルをご覧ください。

検証とサニタイズ

フィルターには 2 種類あります:

検証フィルター:

ユーザー入力を検証するために使用されます
厳密な書式設定ルール (URL や電子メールの検証など)
成功した場合は期待される型を返し、失敗した場合は FALSE を返します

除菌フィルター:

文字列内の指定された文字を許可または禁止するために使用されます
データ形式のルールはありません
常に文字列を返します

オプションとフラグ

オプションとフラグは、指定されたフィルターに追加のフィルター オプションを追加するために使用されます。

フィルターごとに、異なるオプションとフラグがあります。

以下の例では、「min_range」オプションと「max_range」オプションを指定した filter_var() を使用して整数を検証します。 リーリー

上記のコードと同様に、オプションは「options」と呼ばれる関連配列に入れる必要があります。フラグを使用する場合、フラグを配列にする必要はありません。

整数が「300」で指定範囲外のため、上記コードの出力は「整数が無効です」となります。

関数とフィルターの完全なリストについては、W3School が提供する PHP フィルター リファレンス マニュアルを参照してください。各フィルターで使用可能なオプションとフラグを確認できます。

入力を検証する

フォームからの入力を検証してみましょう。

最初に行う必要があるのは、探している入力データが存在することを確認することです。

次に、filter_input() 関数を使用して入力データをフィルターします。

以下の例では、入力変数「email」が PHP ページに渡されます。 リーリー

説明:

上記の例には、「GET」メソッドを介して渡される入力変数 (電子メール) があります。

「GET」タイプの「email」入力変数があるかどうかを検出します

入力変数が存在する場合は、それが有効なメールアドレスであるかどうかを確認してください

インプットを浄化する

フォームから渡されたURLをクリーンアップしてみましょう。

まず、探している入力データが存在することを確認します。

次に、filter_input() 関数を使用して入力データを精製します。

以下の例では、入力変数「url」が PHP ページに渡されます。 リーリー

説明:

上記の例には、「POST」メソッド経由で渡される入力変数 (URL) があります。

タイプ「POST」の「url」入力変数があるかどうかを検出します

この入力変数が存在する場合は、それをサニタイズ（不正な文字を削除）し、$url 変数に保存します

1. 入力変数が「http://www.W3 不正な ol.com.c 文字 n/」のような場合、精製された $url 変数は次のようになります。 リーリー

过滤多个输入

表单通常由多个输入字段组成。为了避免对 filter_var 或 filter_input 重复调用，我们可以使用 filter_var_array 或 the filter_input_array 函数。

在本例中，我们使用 filter_input_array() 函数来过滤三个 GET 变量。接收到的 GET 变量是一个名字、一个年龄以及一个邮件地址：

<?php <span class="marked">$filters = array
 (
 "name" => array
  (
  "filter"=>FILTER_SANITIZE_STRING
  ),
 "age" => array
  (
  "filter"=>FILTER_VALIDATE_INT,
  "options"=>array
   (
   "min_range"=>1,
   "max_range"=>120
   )
  ),
 "email"=> FILTER_VALIDATE_EMAIL,
 );

$result = <code>filter_input_array(INPUT_GET, $filters)</code>;(array(3) { ["name"]=> string(1) "1" ["age"]=> bool(false) ["email"]=> string(8) "1@qq.com" })

if (!$result["age"])
 {
 echo("Age must be a number between 1 and 120.<br>");
 }
elseif(!$result["email"])
 {
 echo("E-Mail is not valid.<br>");
 }
else
 {
 echo("User input is valid");
 }
?>

例子解释：

上面的例子有三个通过 "GET" 方法传送的输入变量 (name, age and email)

1. 设置一个数组，其中包含了输入变量的名称，以及用于指定的输入变量的过滤器
2. 调用 filter_input_array 函数，参数包括 GET 输入变量及刚才设置的数组
3. 检测 $result 变量中的 "age" 和 "email" 变量是否有非法的输入。（如果存在非法输入，）

filter_input_array() 函数的第二个参数可以是数组或单一过滤器的 ID。

如果该参数是单一过滤器的 ID，那么这个指定的过滤器会过滤输入数组中所有的值。

如果该参数是一个数组，那么此数组必须遵循下面的规则：

• 必须是一个关联数组，其中包含的输入变量是数组的键（比如 "age" 输入变量）
• 此数组的值必须是过滤器的 ID ，或者是规定了过滤器、标志以及选项的数组

使用 Filter Callback

通过使用 FILTER_CALLBACK 过滤器，可以调用自定义的函数，把它作为一个过滤器来使用。这样，我们就拥有了数据过滤的完全控制权。

您可以创建自己的自定义函数，也可以使用已有的 PHP 函数。

规定您准备用到过滤器函数的方法，与规定选项的方法相同。

在下面的例子中，我们使用了一个自定义的函数把所有 "_" 转换为空格：

<?php <span class="marked">function convertSpace($string)
{
return str_replace("_", " ", $string);
}

$string = "Peter_is_a_great_guy!";

echo <code>filter_var($string, FILTER_CALLBACK, array("options"=>"convertSpace"))</code>;
?>

以上代码的结果是这样的：

Peter is a great guy!

例子解释：

上面的例子把所有 "_" 转换成空格：

1. 创建一个把 "_" 替换为空格的函数
2. 调用 filter_var() 函数，它的参数是 FILTER_CALLBACK 过滤器以及包含我们的函数的数组