以往,對於常見的SQL注入等漏洞,採取的方式一般都是對數據進行過濾,而對GET/_POST/COOKIE/_SERVER等全局數組變量的直接使用是不夠安全的,故PHP 5.2.0版本以後,推出Filter系列函數,對外部腳本的數據進行過濾,比如POST表單中的email郵箱進行驗證,則將$filter參數設置爲FILTER_VALIDATE_EMAIL即可。
函數名:filter_input
作用:從腳本外部獲取輸入,並進行過濾。用於對來自非安全來源的變量進行驗證,比如用戶的輸入。
格式:mixed filter_input(int $type , string $variable [, int $filter = FILTER_DEFAULT [,mixed $options]])
返回值:如果成功,則返回被過濾的數據,如果失敗,則返回false,如果variable參數未設置,則返回NULL。
參數說明:
參數 | 描述 |
---|---|
type | 必需。規定輸入類型。INPUT_GET、INPUT_POST、INPUT_COOKIE、INPUT_ENV、INPUT_SERVER |
variable | 必需。規定要過濾的變量。 |
filter |
可選。規定要使用的過濾器的ID。默認是FILTER_DEFAULT。 過濾器ID可以是ID名稱(比如FILTER_VALIDATE_EMAIL),或ID號(比如 274)。 |
options | 可選。規定包含標誌/選項的數組。檢查每個過濾器可能的標誌和選項。 |
示例:
1 $_GET['search'] = 'foo'; // This has no effect on the filter_input 2 3 $search_html = filter_input(INPUT_GET, 'search', FILTER_SANITIZE_SPECIAL_CHARS); 4 $search_url = filter_input(INPUT_GET, 'search', FILTER_SANITIZE_ENCODED); 5 echo "You have searched for $search_html.\n"; 6 echo "<a href='?search=$search_url'>Search again.</a>"; 7 8 //示例代碼來自PHP手冊中的評論 9 //http://www.php.net/manual/zh/function.filter-input.php#99124