Php 5.2.0 中的输入过滤函数 Filter.docVIP

Php 5.2.0 中的输入过滤函数 Filter程序的安全性已经成为php开发人员首要（或者经常要）考虑的问题。不论是在单独的，开源的或者商业项目中，它的重要性都越来越高。安全性对于php是一个很重要的部分。但是所有的讨论重点都是用户的输入数据。我们在这里并不讨论诸如XSS，SQL注入这样的话题，如果你对这些感兴趣可以看本文结尾出的相关文章。不要相信外部数据几乎所有的应用程序（web，桌面，命令行）都需要接收相应的数据或者动作来完成一定的操作然后再输出结果。这些输入数据可能是用户或者其他的程序（网络客户端，病毒，扫描器等）。基本原则是：过滤所有的外来数据。对于输入的过滤是保证整个程序安全的基础，和采用什么语言或者什么系统毫无关系。Php提供了很多相应的函数来对数据进行转换或者验证，但是和其他语言比起来明显的缺陷是没有一个标准的函数来过滤所有数据。新的函数Filter实现了这个功能。什么是外部输入数据？所有的form提交的数据所有的$_GET, $_POST, $_REQUESTCookie($_COOKIES)网络服务器数据文件服务器信息（比如 $_SERVER[‘SERVER_NAME’]）环境变量数据库的查询Filter很好的支持了上述这些输入数据。为什么用Filter?Filter扩展库的目的就是要达到使数据过滤尽量的简单，下面是两个简单例子：检查2个通过_GET方式输入的整数： 1 ?php ? 2 ? ? 3 if?(isset($_GET[mode]))?{ ? 4 ????if?(!is_numeric($_GET[mode]))?{ ? 5 ????????echo?The?mode?argument?must?be?a?valid?integer.br?/; ? 6 ????????exit(); ? 7 ????} ? 8 ????$mode?=?(int)$_GET[mode]; ? 9 }?else?{ ? 10 ????echo?The?mode?argument?is?missing.br?/; ? 11 ????exit(); ? 12 } ? 13 ? ? 14 if?(isset($_GET[type]))?{ ? 15 ??$type?=?(int)$_GET[type]; ? 16 ????if?(!is_numeric($_GET[type])?|| ? 17 ??(is_numeric($_GET[type])??$type?=?3??$type?=?10))?{ ? 18 ????????echo?The?type?argument?must?be?an?integer?between?3?and?10.br?/; ? 19 ????????exit(); ? 20 ????}?else?{ ? 21 ????} ? 22 ????$mode?=?$_GET[type]; ? 23 }?else?{ ? 24 ????echo?The?type?argument?is?missing.br?/; ? 25 ????exit(); ? 26 } ? 27 echo?Ok.br?/; ? 28 ?? view plain | print | copy to clipboard | ? 使用Filter扩展库的filter_input函数来过滤： 1 ?php ? 2 ? ? 3 $mode?=?filter_input(INPUT_GET,?mode,?FILTER_VALIDATE_INT); ? 4 $type?=?filter_input(INPUT_GET,?type,?FILTER_VALIDATE_INT,?array(options=array(min_range=3,?max_range=10))); ? 5 ? ? 6 if?(is_null($mode))?{ ? 7 ????echo?The?mode?argument?is?missing.br?/; ? 8 ????exit(); ? 9 }?elseif?($mode?===?false)?{ ? 10 ????echo?The?mode?argument?must?be?a?valid?integer.br?/; ? 11 ????exit(); ? 12 }?else?{ ? 13 ????echo?mode?is:?$mode.br?/; ? 14 } ? 15 ? ? 16 if?(is_null($type))?{ ? 17 ????echo?The?type?argument?is?missing.br?/; ? 18 ????exit(); ?