Функции фильтрации PHP, скорее всего, не являются будоражащим сознание артефактом, но они помогают улучшить стабильность, безопасность и внутреннюю структуру кода, если ими правильно пользоваться.
В данном уроке мы разберемся, почему проверка ввода имеет важное значение и зачем использовать встроенные функции PHP для выполнения тестов. А затем рассмотрим несколько примеров и обсудим их потенциальные недостатки.
Почему проверка ввода имеет важное значение
Проверка ввода является одним из важных пунктов обеспечения безопасности кода, так как ввод является той частью приложения, которая не подчиняется непосредственному контролю со стороны разработчика. А раз нельзя контролировать, значить нельзя и доверять.
К сожалению, разработчики часто пишут код опираясь только на свои представления о том, как он будет работать. В картину не включается то, как кто-то будет использовать приложение опираясь на любопытство, разгильдяйство или злой умысел. Поэтому проверка ввода является первой ступенью к тому, чтобы ваш код выполнялся так, как задумывалось разработчиком.
Если вы перешли к использованию PHP от другого языка программирования, то у вас вполне могут возникнуть рассуждения: «Зачем заботиться о проверке ввода пользователя?» Но PHP является языком программирования с достаточно свободным синтаксисом. Такое положение делает его отличным инструментом. Но платой за великолепные возможности является трудность контроля данных, потому что практически все можно преобразовать одно в другое.
Почему важно использовать встроенные методы
Для упрощения проверки данных начиная с версии PHP 5.2.0 можно использовать функции filter_input() и filter_var().
Если вы будете использовать свои методы проверки, то потенциально есть вероятность попасть в ловушку при разработке остального функционала приложения: вы будете размышлять о граничных случаях, и есть вероятность упустить другие векторы, которые могут маскировать неправильный ввод. Кроме того, при поддержке кода собственные методы потребуют отдельного изучения, так как нужно будет разобраться в реализованных правилах проверки. Поэтому время будет тратиться на изучения внутренней документации и кода, а не на разработку приложения.
Некоторые разработчики полагаются на решения третьей стороны. Например, для проверки можно использовать OWASP ESAPI. Такой подход лучше самостоятельного решения, так как сторонний код уже просмотрен и протестирован в нескольких других местах. Но придется тратить время на изучение документации и включать в свой проект код третьей стороны.
Поэтому, использование встроенных функций может оказаться лучшим решением. Они встроены в язык программирования и все описания для них уже находятся в документации PHP. Новые участники проекта наверняка будут иметь опыт использования таких функций. А в результате получится более простая поддержка приложения.
Несколько примеров
Функция filter_input() появилась в PHP 5.2.0 и позволяет получать внешние переменные и фильтровать их. Очень удобная при работе с данными $_GET и $_POST.
Рассмотрим пример простой страницы, которая читает переданные значения из URL и обрабатывает их. Нам известно, что значения должны быть целым числом в интервале от 15 до 20.
Можно сделать так:
Простой пример, который потребовал достаточно много строк кода.
Во-первых, нужно быть уверенным, что $_GET установлена. Код выполняет соответствующую проверку, чтобы скрипт мог продолжать работать.
Во-вторых, переменная $value содержит «грязные” данные, так как получает их непосредственно из значения $_GET. Нужно выполнить проверку, чтобы можно было использовать $value без риска обрушить все приложение.
Такую проверку пройдет и число 16, так как функция is_numeric() выдаст true.
И в завершение нужно добавить немного логики для определения попадания числа в интервал.
Сравните выше приведенный код с таким:
filter_input()
обрабатывает значение
$_GET. Нет нужды беспокоиться о том, чтобы скрипт получил корректное значение.
Также выполняется проверка $value перед использованием.
Логика приложения сократилась. Нужно только проверить истинность возвращаемого значения (filter_input() возвращает false, если проверка не прошла, или $_GET["value"] не установлена).
Удобная функция для использования в простых скриптах, чтобы получать данные из $_GET или $_POST, но как быть с классами или функциями? Для таких задач есть функция filter_var().
Функция filter_var() была введена одновременно вместе с функцией filter_input() и имеет такой же функционал.
Опасность здесь заключается в том, что ничто не останавливает функцию mail() перед отправкой письма по любому значению, которое хранится в переменной $email. При таких попытках произойти может все, что угодно по самому плохому сценарию.
Гораздо более безопасный вариант:
Глядя на выше приведенные примеры, можно решить, что filter_var() или filter_input() используются только для простых проверок. Но в арсенале данных функций есть фильтр FILTER_CALLBACK.
FILTER_CALLBACK
позволяет передавать переменные ввода в функции, которые будут выполнять фильтрацию по любой логике. Такой подход открывает неограниченные возможности для использования функций фильтрации.
Некоторые потенциальные недостатки
Данные функции являются отличным инструментом, позволяющим реализовать мощную фильтрацию данных. Но у них есть недостатки, на которых нужно акцентировать внимание.
Основной недостаток заключается в том, что функции работают в очень сильной зависимости от фильтров, которые используются для них. Посмотрим на последний пример — фильтр FILTER_VALIDATE_EMAIL изменялся при переходе от версии 5.2.14 к 5.3.3, и есть email адреса, которые являются технически корректными для фильтра, но ущербными для использования. поэтому надо хорошо представлять себе принцип работы используемого фильтра.
Второй недостаток заключается в том, что использование фильтров создает иллюзию безопасности кода. Фильтрация переменных помогает существенно улучшить приложение, но не дает 100% гарантии от неприятностей.
ruseller.com
Фильтры данных впервые появились в PHP 5.0, и по какому-то стечению обстоятельств остались незамечеными большй частью кодеров. Наверное, это можно объяснить отсутствием чего-нибудь подобного в PHP4, а может просто мануал плохо читали. Я тоже узнал про них случайно… А ведь эта замечательная функция позволяет избавиться от запутаных, и подчас некорректных, регулярных выражений, при выполнении типичных задач.
Мануал по фильтрам находится здесь. Приведу только основную информацию и пару практичных примеров.
Ближе к делу
Во-первых, фильтры разделены на 3 типа:
- Validate Filters — проверяющие фильтры
- Sanitize Filters — обезопашивающие фильтры
- Other Filters — другие фильтры
Фильтры первого типа проверяют соответствие строки фильтру. Ответ от такого фильтра — исходная строка в случае удачи или false.
Фильтры второго типа обрабатывают строку и возвращают её в отфильтрованном виде.
Третий тип включает только один фильтр — FILTER_CALLBACK, который передаст строку пользовательской функции и вернет её ответ.
Основная функция для работы с фильтрами — filter_var:
mixed filter_var ( mixed $variable [, int $filter = FILTER_DEFAULT [, mixed $options ]] )
Первый параметр — переменная, подлежащая валидации, второй — номер фильтра, который удобно записывается предопределенной константой. Третим параметром можно передать дополнительные опции, как правило — специальные флаги фильтров. Возвращаемое значение зависит от фильтра.
На последок — пара примеров работы:
// Проверка e-mail $var = 'mail@example.com'; var_dump(filter_var($var, FILTER_VALIDATE_EMAIL)); $var = 'mail@exa_mple.com'; var_dump(filter_var($var, FILTER_VALIDATE_EMAIL)); // Проверка IP $var = '2001:471:1f11:251:290:27ff:fee0:2093'; // Это IPv4? var_dump(filter_var($var, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4)); // Может, это IPv6? var_dump(filter_var($var, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6));
habr.com
<?php
// используйте этот формат для фильтров с дополнительными параметрами
$options = array(
'options' => array(
'default' => 3, // значение, возвращаемое, если фильтрация завершилась неудачей
// другие параметры
'min_range' =>&nb.
olor: #007700">('0755', FILTER_VALIDATE_INT, $options);
// для фильтра, который принимает только флаги, вы можете передать их непосредственно
$var = filter_var('oops', FILTER_VALIDATE_BOOLEAN, FILTER_NULL_ON_FAILURE);
// для фильтра, .
bsp; array('flags' => FILTER_NULL_ON_FAILURE));
// callback-фильтр валидации
function foo($value)
{
// Ожидаемый формат: Фамилия, Имена
if (strpos($value, ",&nb.
span style="color: #007700">(", ", $value, 2);
$empty = (empty($surname) || empty($givennames));
$notstrings = (!is_string($surname) || !is_string(
bsp; return $value;
}
}
$var = filter_var('Doe, Jane Sue', FILTER_CALLBACK, array('options' => 'foo'));
?>
php.ru
<?php
error_reporting(E_ALL | E_STRICT);
$data = array(
'product_id' => 'libgd<script>',
'component' => '10',
'versions' => '2.0.33',
'testscalar' => array('2', '23', '10', '12'),
'testarray' => '2',
);
$args = array(
'product_id' => FILTER_SANITIZE_ENCODED,
'component' => array('filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options' => array('min_range' => 1, 'max_range' => 10)
),
'versions' => FILTER_SANITIZE_ENCODED,
'doesnotexist' => FILTER_VALIDATE_INT,
'testscalar' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_REQUIRE_SCALAR,
),
'testarray' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
)
);
$myinputs = filter_var_array($data, $args);
var_dump($myinputs);
echo "n";
?>
bourabai.ru
От автора: При создании сайтов или веб-приложений, так или иначе, необходимо фильтровать данные, полученные от пользователя. В первую очередь, это необходимо для обеспечения безопасности, а также для хранения данных в правильном формате. Для этого в версии 5.2 интерпретатора языка PHP была добавлена секция фильтр, что позволяет как фильтровать, так и очищать входные данные. Поэтому в данном уроке мы рассмотрим функции, которые позволяют выполнять фильтрацию данных, а также непосредственно доступные фильтры.
Функции для фильтрации
Первым делом хотел бы отметить, что для использования функций фильтров, Вам необходим интерпретатор языка PHP версии 5.2 и выше. Ознакомиться с официальной документацией по встроенным фильтрам можно по ссылке https://php.net/manual/ru/book.filter.php.
Начнем изучение с функции filter_list(), которая вернет массив имен доступных фильтров.
В результате мы получим следующий массив:
Далее мы можем получить идентификатор интересующего фильтра, передав его имя в функцию filter_id(), которая возвращает идентификатор, принадлежащий именованному фильтру. Конечно, все идентификаторы сохранены в специальных константах, но если Вы забыли имя константы, функция filter_id(), Вам очень пригодится. К примеру, узнаем идентификатор фильтра number_int:
В результате мы получим число 519 – это соответствует значению константы FILTER_SANITIZE_NUMBER_INT.
При фильтрации, постоянно приходится работать с внешними данными, поэтому изначально необходимо проверить, были ли они переданы. Внешние данные, переданные в скрипт, сохраняются в одном из суперглобальных массивов, к примеру $_POST, или $_GET. Функция filter_has_var() — проверяет существование переменной указанного типа, и возвращает истину в случае успеха.
Где, $type – тип переменной, который равен одной из следующих констант INPUT_GET, INPUT_POST, INPUT_COOKIE, INPUT_SERVER (переменная из массива $_POST, $_GET, $_COOKIE, $_SERVER соответственно), string $variable_name – имя переменной (ячейки соответствующего массива).
Следующие функции, которые предстоит рассмотреть, работают непосредственно с фильтрами, поэтому предлагаю изучать их вместе.
Фильтры валидации данных
Для фильтрации значения переменной переданной из вне, используется функция filter_input($type , $variable_name, $filter = FILTER_DEFAULT, $options), которая принимает внешнюю переменную и, при необходимости, фильтрует ее. Аргументы функции:
К примеру, создадим небольшую форму:
В обработчике, отфильтруем значение, которое передается через текстовое поле string:
Как Вы видите я вызвал на исполнение функцию filter_input(), и передал третьим параметром фильтр FILTER_VALIDATE_BOOLEAN, который возвращает TRUE для значений «1″, «true», «on» и «yes», иначе возвращает FALSE. Соответственно если в форме ввести значение 1 – на экране мы увидим строку YES. Если передать в массив
$options флаг FILTER_NULL_ON_FAILURE – фильтр будет возвращать NULL вместо FALSE.
Фильтр валидации email
FILTER_VALIDATE_EMAIL – фильтр возвращает TRUE, если проверяемое значение, является валидным email адресом.
Фильтр валидации числа с плавающей точкой
FILTER_VALIDATE_FLOAT – фильтр возвращает TRUE, если передаваемое значение – это правильное число, с плавающей точкой. Данный фильтр поддерживает один флаг FILTER_FLAG_ALLOW_THOUSAND, который разрешает использование разделителей тысяч (по умолчанию это ,).
Фильтр валидации целочисленных значений
FILTER_VALIDATE_INT — Проверяет, что значение является корректным целым числом, и, при необходимости, входит в определенный диапазон. Поддерживает два флага FILTER_FLAG_ALLOW_OCTAL и FILTER_FLAG_ALLOW_HEX, которые разрешают использование чисел восьмеричной и шестнадцатеричной, соответственно, систем исчисления. Помимо этого, фильтр принимает два параметра, то есть диапазон чисел, который должно удовлетворять проверяемое значение.
Если в текстовую форму ввести число в диапазоне от 3 до 10, как результат мы получим YES.
Фильтр валидации IP адреса
FILTER_VALIDATE_IP – возвращает истину, если проверяемое значение соответствует IP адресу. Поддерживает следующие флаги:
Фильтр соответствия шаблону регулярного выражения
FILTER_VALIDATE_REGEXP – проверяет, соответствует ли проверяемое значение шаблону регулярного выражения, который передан в массив $options (ячейка ‘regexp’):
В данном примере, проверку пройдет строка, состоящая только из цифр.
Фильтр валидации URL
FILTER_VALIDATE_URL – проверяет, соответствует ли строка URL адресу. Поддерживает два флага: FILTER_FLAG_PATH_REQUIRED – URL, обязательно должен содержать полный путь (то есть вместе с доменом сайта, должно быть имя выполняемого файла) и FILTER_FLAG_QUERY_REQUIRED – строка URL, обязательно должна содержать строку с GET параметрами.
С фильтрами валидации, мы закончили, теперь давайте рассмотрим еще одну функцию, которая позволяет выполнять проверку не одной переменной, а целого массива.
Аргументы функции:
К примеру, если мы передаем методом POST две переменные – number и summ, то для валидации данных полей с помощью функции filter_input_array(), необходимо:
Как Вы видите, в функцию, первым параметром, мы передаем константу INPUT_POST, то есть, ожидаем данные, которые будут отправлены запросом POST. А так же создаем массив $def, количество ячеек которого совпадает с количеством ячеек массива $_POST, к тому же имена ячеек так же совпадают с именами массива $_POST.
Фильтры очистки данных
Перед изучением фильтров данной группы, изучим последние две функции, фильтрации данных.
Функция filter_var() – фильтрует переменную с помощью определенного типа и возвращает отфильтрованные данные. Первым параметром необходимо передать имя переменной, которую нужно отфильтровать, вторым – идентификатор фильтра, третьим – массив опций.
К примеру, для фильтрации переменной $number = 5, необходимо выполнить следующее (то есть данная переменная должна содержать только целое число в диапазоне от 1 до 7):
И вторая функция — filter_var_array ($data, $definition, $add_empty), по своей работе полностью аналогична функции filter_input_array(), за исключением того, что фильтруется массив переменных скрипта.
Фильтры очистки данных, выполняют непосредственные манипуляции с данными, а именно очищают данные по заданному условию.
Фильтр очистки email
FILTER_SANITIZE_EMAIL – удаляет символы, которые недопустимы в email адресах, а именно удаляет все символы, кроме букв, цифр и !#$%&’*+-/=?^_{|}~@.[]. К примеру:
|
|
$email = '(admin(собака)admin.ru)'; echo filter_var($email,FILTER_SANITIZE_EMAIL ); |
Фильтр кодирования символов
FILTER_SANITIZE_ENCODED - кодирует строку в формат URL, а также при необходимости удаляет или кодирует специальные символы.
Флаги: FILTER_FLAG_STRIP_LOW – удаляет символы ANCII код, которых меньше 32, FILTER_FLAG_STRIP_HIGH – удаляет символы ANCII код, которых больше 122, FILTER_FLAG_ENCODE_LOW– кодирует символы ANCII код, которых меньше 32, FILTER_FLAG_ENCODE_HIGH – кодирует символы ANCII код, которых больше 122.
Фильтр экранирования кавычек
FILTER_SANITIZE_MAGIC_QUOTES – при использовании данного фильтра вызывается функция addslashes().
Фильтры очистки чисел
FILTER_SANITIZE_NUMBER_FLOAT – фильтрует числа с плавающей точкой, а именно удаляет все символы, кроме цифр, +- и, при необходимости, .,eE. Поддерживаются флаги: FILTER_FLAG_ALLOW_FRACTION – точка разделяющая дробную и целую часть не удаляется, FILTER_FLAG_ALLOW_THOUSAND – разделитель тысяч не удаляется FILTER_FLAG_ALLOW_SCIENTIFIC – символы eE – не удаляются.
FILTER_SANITIZE_NUMBER_INT - удаляются все символы, кроме цифр и знаков плюса и минуса.
Фильтры очистки строк
FILTER_SANITIZE_SPECIAL_CHARS – фильтр экранирует HTML-символы '"<>& и символы с ASCII-кодом, меньшим 32, при использовании флагов удаляет или кодирует остальные специальные символы. Поддерживаются флаги: FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_HIGH.
FILTER_SANITIZE_FULL_SPECIAL_CHARS – полностью аналогичен работе функции htmlspecialchars(). Для отключения кодирования кавычек, необходимо использовать флаг FILTER_FLAG_NO_ENCODE_QUOTES.
FILTER_SANITIZE_STRING – данный фильтр удаляет и при использовании флагов, удаляет или кодирует специальные символы. Поддерживает следующие флаги: FILTER_FLAG_NO_ENCODE_QUOTES, FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_LOW, FILTER_FLAG_ENCODE_HIGH, FILTER_FLAG_ENCODE_AMP. Последний флаг экранирует знак &.
FILTER_SANITIZE_URL – фильтр все символы, которые нельзя использовать в URL, то есть все символы, кроме букв, цифр и $-_.+!*'(),{}|\^~[]<>#%»;/?:@&=.
Вот собственно и все, что я хотел Вам сказать в данном уроке. Всего Вам доброго, удачного кодирования и до новых средств!!!
webformyself.com
Очень часто приходится сталкиваться с простейшей задачей — валидацией данных из формы или любых других источников (кукисы, заголовок запроса, etc.) И каждый раз 95% разработчиков городят какие-то неимоверные велосипеды (регулярные выражения, «уникальные» алгоритмы хеширования паролей, etc). И каждый раз мне приходится рассказывать о такой невероятно полезной и нужной функции php — filter_var!
Итак, встречаем, встроенная функция валидации данных.
Эта замечательная функция появилась уже давно, в PHP 5.2.0, но до сих пор, очень малый процент разработчиков применяют её, предпочитая свои велосипеды. И это очень зря, ведь Вы используете готовые фреймворки, ORM и другие инструменты? Так почему Вы не валидируете данные встроенными методами?
Filter_var может проверять и очищать какие угодно данные, от булевых значений, до email и url. Есть 3 типа фильтров:
- Фильтры валидации данных
- Очищающие фильтры
- Остальные фильтры
Так же есть ещё флаги, используемые в фильтрах в качестве третьего параметра функции filter_var. Они нужны для уточнения условий валидности. Сегодня мы рассмотрим фильтры валидации данных подробнее.
Фильтры валидации данных
На момент написания статьи, существовало семь валидирующих фильтров:
- FILTER_VALIDATE_BOOLEAN — проверяет, что значение является корректным булевым значением. Использует неявное приведение типов. Примеры валидных значений: «1», «true», «on», «yes».
- FILTER_VALIDATE_EMAIL — проверяет, что значение является корректным email.
- FILTER_VALIDATE_FLOAT — проверяет, что значение является корректным числом с плавающей точкой.
- FILTER_VALIDATE_INT — проверяет, что значение является корректным целым числом. Дополнительно можно проверить входит ли значение в определенный диапазон.
- FILTER_VALIDATE_IP — проверяет, что значение является корректным ip-адресом (v4 или v6). Дополнительно можно проверить, что IP соответствует протоколу IPv4 или IPv6, а также отсутствие вхождения в частные или зарезервированные диапазоны.
- FILTER_VALIDATE_REGEXP — Проверяет значение на соответствие regexp, Perl-совместимому регулярному выражению.
- FILTER_VALIDATE_URL — проверяет, что значение является корректным url адресом (в соответствии с RFC 2396).
Для некоторых фильтров можно применить параметры или флаги, за подробностями, обратитесь на страницу документации.
Будьте внимательны!
- FILTER_VALIDATE_INT
- Числа +0 и -0 не пройдут проверку на целые числа, но пройдут ее на числа с плавающей точкой.
- FILTER_VALIDATE_URL
- Корректная ссылка может не содержать HTTP-протокол , т.е. необходима еще одна проверка, определяющая наличие необходимого протокола у ссылки, например, ssh:// или mailto:.
- Функция работает только с ASCII-ссылками, таким образом, интернациональные доменные имена (содержащие не-ASCII символы) не пройдут проверку.
- FILTER_VALIDATE_EMAIL
- Доменная зона не проверяется на реальность, так что адрес вида some@site.mymegazone пройдет валидацию (привет зонам верхнего уровня аля .yandex).
Вот и все. В следующей статье я опишу очищающие фильтры. Далее несколько примеров. Приятного кодинга!
Примеры
<? // FILTER_VALIDATE_BOOLEAN filter_var('on', FILTER_VALIDATE_BOOLEAN); // true filter_var(true, FILTER_VALIDATE_BOOLEAN); // true filter_var(1, FILTER_VALIDATE_BOOLEAN); // true filter_var(0, FILTER_VALIDATE_BOOLEAN); // false filter_var(false, FILTER_VALIDATE_BOOLEAN); // false filter_var(false, FILTER_VALIDATE_BOOLEAN, FILTER_NULL_ON_FAILURE); // null // FILTER_VALIDATE_EMAIL filter_var('author@some-domain.com', FILTER_VALIDATE_EMAIL); // author@some-domain.com filter_var('d#fh$df%h@ffffuuuuuuuu.unknow', FILTER_VALIDATE_EMAIL); // d#fh$df%h@ffffuuuuuuuu.unknow то есть верно! filter_var('-----@site.b', FILTER_VALIDATE_EMAIL); // -----@site.b то есть верно! filter_var('имя-на-русском@сайтец.рф', FILTER_VALIDATE_EMAIL); // false filter_var('<script>;alert("okay");</script>@site.b', FILTER_VALIDATE_EMAIL); // false // FILTER_VALIDATE_FLOAT filter_var(1, FILTER_VALIDATE_FLOAT); // 1 filter_var(0, FILTER_VALIDATE_FLOAT); // 0 filter_var(1.1, FILTER_VALIDATE_FLOAT); // 1.1 filter_var(true, FILTER_VALIDATE_FLOAT); // 1 filter_var( '1,1', FILTER_VALIDATE_FLOAT, array('options' => array('decimal' => ',')) ); // 1.1 filter_var('1,1', FILTER_VALIDATE_FLOAT); // false filter_var('1,000,000', FILTER_VALIDATE_FLOAT); // false filter_var('1,000,000', FILTER_VALIDATE_FLOAT, FILTER_FLAG_ALLOW_THOUSAND); // 1000000 // FILTER_VALIDATE_INT filter_var(1, FILTER_VALIDATE_INT); // 1 filter_var(0, FILTER_VALIDATE_INT); // 0 filter_var(true, FILTER_VALIDATE_INT); // 1 filter_var('3', FILTER_VALIDATE_INT); // 3 filter_var('3.2', FILTER_VALIDATE_INT); // false filter_var( 22, FILTER_VALIDATE_INT, array('options' => array('min_range' => 30)) ); // false filter_var( 32, FILTER_VALIDATE_INT, array('options' => array('min_range' => 30)) ); // 32 // FILTER_FLAG_ALLOW_OCTAL filter_var(032, FILTER_VALIDATE_INT, FILTER_FLAG_ALLOW_OCTAL); // 26 // FILTER_FLAG_ALLOW_HEX filter_var(0x32, FILTER_VALIDATE_INT, FILTER_FLAG_ALLOW_HEX); // 50 // FILTER_VALIDATE_IP filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP); // 127.0.0.1 filter_var('10.0.0.0', FILTER_VALIDATE_IP); // 10.0.0.0 // FILTER_FLAG_IPV6 filter_var('10.0.0.0', FILTER_VALIDATE_IP, FILTER_FLAG_IPV6); // false filter_var( '2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d', FILTER_VALIDATE_IP, FILTER_FLAG_IPV6 ); // 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d // FILTER_FLAG_NO_PRIV_RANGE filter_var('10.0.0.0', FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE); // false filter_var('33.35.73.255', FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE); // 33.35.73.255 // FILTER_FLAG_NO_RES_RANGE filter_var('0.0.0.0', FILTER_VALIDATE_IP, FILTER_FLAG_NO_RES_RANGE); // false filter_var('10.0.0.0', FILTER_VALIDATE_IP, FILTER_FLAG_NO_RES_RANGE); // 10.0.0.0 // FILTER_VALIDATE_REGEXP filter_var( 'hello world', FILTER_VALIDATE_REGEXP, array('options'=>array('regexp'=>'/^h/is')) ); // hello world filter_var( 'world hello', FILTER_VALIDATE_REGEXP, array('options'=>array('regexp'=>'/^h/is')) ); // false filter_var( 'hello world', FILTER_VALIDATE_REGEXP, array('options'=>array('regexp'=>'/[0-9]+/is')) ); // false filter_var( '22 543 24', FILTER_VALIDATE_REGEXP, array('options'=>array('regexp'=>'/[0-9]+/is')) ); // 22 543 24 // FILTER_VALIDATE_URL filter_var('http://somesite.com', FILTER_VALIDATE_URL); // http://somesite.com filter_var('http://какой-то-сайт.рф', FILTER_VALIDATE_URL); // false filter_var('http://#%$%#^^.com', FILTER_VALIDATE_URL); // false filter_var('somesite.com', FILTER_VALIDATE_URL); // false filter_var('torrent://somesite.com', FILTER_VALIDATE_URL); // torrent://somesite.com // FILTER_FLAG_PATH_REQUIRED filter_var( 'http://somesite.com', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED ); // false filter_var( 'http://somesite.com/test', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED ); // http://somesite.com/test // FILTER_FLAG_QUERY_REQUIRED filter_var( 'http://somesite.com', FILTER_VALIDATE_URL, FILTER_FLAG_QUERY_REQUIRED ); // false filter_var( 'http://somesite.com?test', FILTER_VALIDATE_URL, FILTER_FLAG_QUERY_REQUIRED ); // http://somesite.com?test // FILTER_FLAG_PATH_REQUIRED | FILTER_FLAG_QUERY_REQUIRED filter_var( 'http://somesite.com/test?test', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED | FILTER_FLAG_QUERY_REQUIRED ); // http://somesite.com?test ?>
www.phptime.ru
Введение
Для этого ответа вам понадобится как минимум PHP 5.4 + (из-за, как минимум, синтаксиса массива).
Если цель состоит в том, чтобы сделать что-то вроде этого:
$filteredArray = filter_var_array($arrayToFilter, $filterInstuctionsArray);
… и использовать результаты возврата основных функций PHP (вместе с логикой принятия решения) для проверки длины строки (mb_strlen(), strlen()) строки, ключ должен иметь отличные команды фильтра Array`. Чтобы передать аргументы вашей функции обратного вызова (для целей повторного использования, инкапсуляции и обобщения и т.д.), Я считаю, что существует как минимум два сценария.
Сценарии
A) Формы класса/объекта.
'options' => [$this, 'callbackMethod'] 'options' => [$this->object, 'callbackMethod'] 'options' => [$object, 'callbackMethod']
B) Процедурная форма.
'options' => 'callbackFunction'
Решение
1) Замените $this или $object в сценарии A с экземпляром new объекта прямо тогда и там, передавая в любые аргументы его конструктор. Это кажется маловероятным, поскольку он нападает на тесно связанный код.
В качестве альтернативы можно было бы ввести предварительно заполненный объект в класс Validator определенного типа и запустить filter_input_array() из этого класса Validator. Таким образом, передача аргументов в callbackMethod не требуется.
или
2) Замените 'callbackFunction' в сценарии B с Анонимная функция PHP и реализовать синтаксис use для передачи аргументов/ограничений класса Validator.
function ($value) use ($min, $max) { $length = mb_strlen($value, 'UTF-8'); return ($length >= $min) && ($length <= $max); }
Попытка № 1: команда фильтра с анонимными функциями
Вот последовательный пример работы со скалярными значениями.
$filterInstructionsArray[ 'fName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => function ($value) use ($min, $max) { $length = mb_strlen($value, 'UTF-8'); return ($length >= $min) && ($length <= $max);}], 'lName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => function ($value) use ($min, $max) { $length = mb_strlen($value, 'UTF-8'); return ($length >= $min) && ($length <= $max);}] ];
Конечно, это нарушает принципы DRY. Таким образом, вы можете определить анонимную функцию как свойство класса Validator (или просто назначить его переменной), что делает ее именованным экземпляром объекта Closure.
private $checkNameLength = function ($value) use ($this->nameMin, $this->nameMax) { $length = mb_strlen($value, 'UTF-8'); return ($length >= $this->nameMin) && ($length <= $this->nameMax); };
или
$checkNameLength = function ($value) use ($min, $max) { $length = mb_strlen($value, 'UTF-8'); return ($length >= $min) && ($length <= $max); };
Итак, я надеюсь, что одна из двух вещей будет работать.
Попытка # 2: команда фильтра с массивом с именованными анонимными функциями
$filterInstructionsArray[ 'fName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => [$this, 'checkNameLength']] ];
или
$filterInstructionsArray[ 'fName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => 'checkNameLength'] ];
Потенциальные осложнения
Closure экземпляры $this->checkNameLength и $checkNameLength — это объекты, а не обычные «методы/функции». Но, если PHP не жалуется, я не буду разрывать волосы. Я предполагаю, что можно попытаться определить функцию внутри анонимной функции.
$checkName = function ($value) use ($min, $max) { function lengthTest($string, $min, $max){ $length = mb_strlen($string, 'UTF-8'); return ($length >= $min) && ($length <= $max); } };
Тогда ваш массив команд фильтра будет выглядеть следующим образом.
$filterInstructionsArray[ 'fName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => [$checkName, 'lengthTest']] ];
Или, возможно, это…
$filterInstructionsArray[ 'fName' = ['filter' => FILTER_CALLBACK, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => 'lengthTest'] ];
Заключение
Существует лучший способ создания общей проверки длины строки, чем использование PHP filter_var_array() и анонимных функций. Использование 'filter' => FILTER_VALIDATE_REGEXP может упростить проверку длины одной строки, но это не заменяет принципы DRY. В итоге у вас будет множество операторов в вашем массиве инструкций фильтров, просто для обработки длин строк в массиве ввода.
//If you just want to test only the lengths first, this is //very inefficient. Assume each $regex is only checking string length. $filterLengthInstructions = [ 'fName' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $fNameRegex]], 'lName' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $lNameRegex]], 'company' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $comanyRegex]], 'address1' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $address1Regex]], 'address2' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $address2Regex]], 'zip' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $zipRegex]], 'website' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $urlRegex]], 'email' => ['filter' => FILTER_VALIDATE_REGEXP, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['regexp' => $emailRegex]] ];
Это можно сделать, если вы пытаетесь создать чистый класс filter_input_array() Validator или подпрограмму. Но вам придется сделать несколько проходов filter_var_array(), с несколькими массивами команд фильтров (потому что длина строки — это не единственное, что делает ее действительной или недействительной).
Для website и email вы захотите воспользоваться 'filter' => FILTER_VALIDATE_URL и 'filter' => FILTER_VALIDATE_EMAIL.. В других случаях вам захочется воспользоваться 'filter' => FILTER_VALIDATE_IP. Кроме того, особенно в случае email, вы можете ограничить действительные адреса электронной почты подмножеством официального RFC с регулярным выражением. Чтобы сохранить чистоту, вы не ставили бы это регулярное выражение в $filterLengthInstructions.
Основополагающие причины для того, чтобы изменить min_length и max_length возможность писать бизнес-логику один раз и использовать ее везде.
Как минимум, мой совет — создать абстрактный класс Validator и определить один (1) метод, который проверяет длину строк.
Теперь вы можете разделить этот метод или делегировать эту задачу на внедренный метод объекта StringTester.
Неважно, но определяя конкретные дочерние классы Validator, все, что вам нужно сделать, это определить ваши тестовые параметры в массиве, создать цикл и вызвать:
$this->testString($string, $min, $max, $pattern, $errorMessage);
или
$this->stringTester->testString($string, $min, $max, $pattern, $errorMessage);
… внутри цикла. Обязательно учитывайте $errorMessage.
abstract Class Tester { }
class StringTester extends Tester { private function testString($string, $min, $max, $pattern, &$errorMessage) { $length = mb_strlen($string, 'UTF-8'); if($length < $min) //Test string against minimum length. { $errorMessage = 'Too small! ('.$min.' min, ' .$length. ' given.)'; } elseif($length > $max) //Test string against maximum length. { $errorMessage = 'Too large! ('.$max.' max, ' .$length. ' given.)'; } elseif(preg_match($pattern, $string) === 0) //Test string pattern. { $errorMessage = 'Invalid string format!'; } else { $errorMessage = ''; //The error message is the empty string. } return; } }
abstract Class Validator { //Arrays protected $inputArray; protected $errorMessagesArray = []; protected $stringTestRulesArray; //I know. I know. :-) //Objects protected $stringTester; //Abstract functions abstract public function validate(); public function __construct(Tester $stringTester, array $inputArray, array $stringTestRutlesArray) { $this->stringTester = $stringTester; $this->inputArray = $inputArray; $this->stringTestRulesArray = $stringTestRulesArray } public function getInput() { return $this->inputArray; } public function getErrorMessages() { return $this->errorMessagesArray(); } protected function validateStrings() { //Notice how input values correspond to error message elements via $key. foreach($this->stringTestRulesArray as $key = $valuesArr) { $this->stringTester->testString($this->inputArray[$key], $valuesArr['min'], $valuesArr['max'], $valuesArr['pattern'], $this->errorMessagesArray[$key]); } return; } }
class ContactValidator extends Validator { public function __construct(Tester $stringTester, Sanitizer $sanitizer) { $stringTestRulesArray = [ 'fName' => ['min' => 1, 'max' => 25, 'pattern' => '/[A-Za-z' -]/'], 'lName' => ['min' => 1, 'max' => 40, 'pattern' => '/[A-Za-z' -]/'] ]; parent::__construct($stringTester, $sanitizer->getInput(), $stringTestRulesArray); } public function validate() { $this->validateStrings(); //Other, contact form specific validation stuff. } }
class RegisterValidator extends Validator { public function __construct(Tester $stringTester, Sanitizer $sanitizer) { $stringTestRulesArray = [ 'fName' => ['min' => 1, 'max' => 30, 'pattern' => '/[A-Za-z' -]/'], 'lName' => ['min' => 1, 'max' => 45, 'pattern' => '/[A-Za-z' -]/'] ]; parent::__construct($stringTester, $sanitizer->getInput(), $stringTestRulesArray); } public function validate() { $this->validateStrings(); //Other, register form specific validation stuff. } }
qaru.site
<?php
// используйте этот формат для фильтров с дополнительными параметрами
$options = array(
'options' => array(
'default' => 3, // значение, возвращаемое, если фильтрация завершилась неудачей
// другие параметры
'min_range' => 0
),
'flags' => FILTER_FLAG_ALLOW_OCTAL,
);
$var = filter_var('0755', FILTER_VALIDATE_INT, $options);
// для фильтра, который принимает только флаги, вы можете передать их непосредственно
$var = filter_var('oops', FILTER_VALIDATE_BOOLEAN, FILTER_NULL_ON_FAILURE);
// для фильтра, который принимает только флаги, вы также можете передать их как массив
$var = filter_var('oops', FILTER_VALIDATE_BOOLEAN,
array('flags' => FILTER_NULL_ON_FAILURE));
// callback-функция фильтра валидации
function foo($value)
{
// Ожидаемый формат: Фамилия, Имена
if (strpos($value, ", ") === false) return false;
list($surname, $givennames) = explode(", ", $value, 2);
$empty = (empty($surname) || empty($givennames));
$notstrings = (!is_string($surname) || !is_string($givennames));
if ($empty || $notstrings) {
return false;
} else {
return $value;
}
}
$var = filter_var('Doe, Jane Sue', FILTER_CALLBACK, array('options' => 'foo'));
?>
php.net
