PHP 過(guò)濾器用于驗(yàn)證和過(guò)濾來(lái)自非安全來(lái)源的數(shù)據(jù)，比如用戶的輸入。 
什么是 PHP 過(guò)濾器？ 
PHP 過(guò)濾器用于驗(yàn)證和過(guò)濾來(lái)自非安全來(lái)源的數(shù)據(jù)。 

驗(yàn)證和過(guò)濾用戶輸入或自定義數(shù)據(jù)是任何 Web 應(yīng)用程序的重要組成部分。 

設(shè)計(jì) PHP 的過(guò)濾器擴(kuò)展的目的是使數(shù)據(jù)過(guò)濾更輕松快捷。 
為什么使用過(guò)濾器？ 
幾乎所有 web 應(yīng)用程序都依賴外部的輸入。這些數(shù)據(jù)通常來(lái)自用戶或其他應(yīng)用程序（比如 web 服務(wù)）。通過(guò)使用過(guò)濾器，您能夠確保應(yīng)有程序獲得正確的輸入類型。 

您應(yīng)該始終對(duì)外部數(shù)據(jù)進(jìn)行過(guò)濾！ 

輸入過(guò)濾是最重要的應(yīng)用程序安全課題之一。 

什么是外部數(shù)據(jù)？ 
來(lái)自表單的輸入數(shù)據(jù) 
Cookies 
服務(wù)器變量 
數(shù)據(jù)庫(kù)查詢結(jié)果 
函數(shù)和過(guò)濾器 
如需過(guò)濾變量，請(qǐng)使用下面的過(guò)濾器函數(shù)之一： 

filter_var() - 通過(guò)一個(gè)指定的過(guò)濾器來(lái)過(guò)濾單一的變量 
filter_var_array() - 通過(guò)相同的或不同的過(guò)濾器來(lái)過(guò)濾多個(gè)變量 
filter_input - 獲取一個(gè)輸入變量，并對(duì)它進(jìn)行過(guò)濾 
filter_input_array - 獲取多個(gè)輸入變量，并通過(guò)相同的或不同的過(guò)濾器對(duì)它們進(jìn)行過(guò)濾 
在下面的例子中，我們用 filter_var() 函數(shù)驗(yàn)證了一個(gè)整數(shù)： 

復(fù)制代碼代碼如下:

<?php 
$int = 123; 

if(!filter_var($int, FILTER_VALIDATE_INT)) 
{ 
echo("Integer is not valid"); 
} 
else 
{ 
echo("Integer is valid"); 
} 
?> 

上面的代碼使用了 "FILTER_VALIDATE_INT" 過(guò)濾器來(lái)過(guò)濾變量。由于這個(gè)整數(shù)是合法的，因此代碼的輸出是："Integer is valid"。 

假如我們嘗試使用一個(gè)非整數(shù)的變量，則輸出是："Integer is not valid"。 

如需完整的函數(shù)和過(guò)濾器列表，請(qǐng)?jiān)L問(wèn)我們的 PHP Filter 參考手冊(cè)。 
Validating 和 Sanitizing 
有兩種過(guò)濾器： 

Validating 過(guò)濾器： 
用于驗(yàn)證用戶輸入 
嚴(yán)格的格式規(guī)則（比如 URL 或 E-Mail 驗(yàn)證） 
返回若成功預(yù)期的類型，否則返回 FALSE 
Sanitizing 過(guò)濾器： 
用于允許或禁止字符串中指定的字符 
無(wú)數(shù)據(jù)格式規(guī)則 
始終返回字符串 
選項(xiàng)和標(biāo)志 
選項(xiàng)和標(biāo)志用于向指定的過(guò)濾器添加額外的過(guò)濾選項(xiàng)。 

不同的過(guò)濾器有不同的選項(xiàng)和標(biāo)志。 

在下面的例子中，我們用 filter_var() 和 "min_range" 以及 "max_range" 選項(xiàng)驗(yàn)證了一個(gè)整數(shù)： 

復(fù)制代碼代碼如下:

<?php 
$var=300; 

$int_options = array( 
"options"=>array 
( 
"min_range"=>0, 
"max_range"=>256 
) 
); 

if(!filter_var($var, FILTER_VALIDATE_INT, $int_options)) 
{ 
echo("Integer is not valid"); 
} 
else 
{ 
echo("Integer is valid"); 
} 
?> 

就像上面的代碼一樣，選項(xiàng)必須放入一個(gè)名為 "options" 的相關(guān)數(shù)組中。如果使用標(biāo)志，則不需在數(shù)組內(nèi)。 

由于整數(shù)是 "300"，它不在指定的氛圍內(nèi)，以上代碼的輸出將是 "Integer is not valid"。 

如需完整的函數(shù)及過(guò)濾器列表，請(qǐng)?jiān)L問(wèn) W3School 提供的 PHP Filter 參考手冊(cè)。您可以看到每個(gè)過(guò)濾器的可用選項(xiàng)和標(biāo)志。 
驗(yàn)證輸入 
讓我們?cè)囍?yàn)證來(lái)自表單的輸入。 

我們需要作的第一件事情是確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)。 

然后我們用 filter_input() 函數(shù)過(guò)濾輸入的數(shù)據(jù)。 

在下面的例子中，輸入變量 "email" 被傳到 PHP 頁(yè)面： 

復(fù)制代碼代碼如下:

<?php 
if(!filter_has_var(INPUT_GET, "email")) 
{ 
echo("Input type does not exist"); 
} 
else 
{ 
if (!filter_input(INPUT_GET, "email", FILTER_VALIDATE_EMAIL)) 
{ 
echo "E-Mail is not valid"; 
} 
else 
{ 
echo "E-Mail is valid"; 
} 
} 
?> 

例子解釋： 
上面的例子有一個(gè)通過(guò) "GET" 方法傳送的輸入變量 (email)： 

檢測(cè)是否存在 "GET" 類型的 "email" 輸入變量 
如果存在輸入變量，檢測(cè)它是否是有效的郵件地址 
凈化輸入 
讓我們?cè)囍謇硪幌聫谋韱蝹鱽?lái)的 URL。 

首先，我們要確認(rèn)是否存在我們正在查找的輸入數(shù)據(jù)。 

然后，我們用 filter_input() 函數(shù)來(lái)凈化輸入數(shù)據(jù)。 

在下面的例子中，輸入變量 "url" 被傳到 PHP 頁(yè)面： 

復(fù)制代碼代碼如下:

<?php 
if(!filter_has_var(INPUT_POST, "url")) 
{ 
echo("Input type does not exist"); 
} 
else 
{ 
$url = filter_input(INPUT_POST, 
"url", FILTER_SANITIZE_URL); 
} 
?> 

例子解釋： 
上面的例子有一個(gè)通過(guò) "POST" 方法傳送的輸入變量 (url)： 

檢測(cè)是否存在 "POST" 類型的 "url" 輸入變量 
如果存在此輸入變量，對(duì)其進(jìn)行凈化（刪除非法字符），并將其存儲(chǔ)在 $url 變量中 
假如輸入變量類似這樣："http://www.W3#$%S^%$#ool.com.cn/"，則凈化后的 $url 變量應(yīng)該是這樣的： 

http://www.W3School.com.cn/過(guò)濾多個(gè)輸入 
表單通常由多個(gè)輸入字段組成。為了避免對(duì) filter_var 或 filter_input 重復(fù)調(diào)用，我們可以使用 filter_var_array 或 the filter_input_array 函數(shù)。 

在本例中，我們使用 filter_input_array() 函數(shù)來(lái)過(guò)濾三個(gè) GET 變量。接收到的 GET 變量是一個(gè)名稱、一個(gè)年齡以及一個(gè)郵件地址： 

復(fù)制代碼代碼如下:

<?php 
$filters = array 
( 
"name" => array 
( 
"filter"=>FILTER_SANITIZE_STRING 
), 
"age" => array 
( 
"filter"=>FILTER_VALIDATE_INT, 
"options"=>array 
( 
"min_range"=>1, 
"max_range"=>120 
) 
), 
"email"=> FILTER_VALIDATE_EMAIL, 
); 

$result = filter_input_array(INPUT_GET, $filters); 

if (!$result["age"]) 
{ 
echo("Age must be a number between 1 and 120.<br />"); 
} 
elseif(!$result["email"]) 
{ 
echo("E-Mail is not valid.<br />"); 
} 
else 
{ 
echo("User input is valid"); 
} 
?> 

例子解釋： 
上面的例子有三個(gè)通過(guò) "GET" 方法傳送的輸入變量 (name, age and email) 

設(shè)置一個(gè)數(shù)組，其中包含了輸入變量的名稱，以及用于指定的輸入變量的過(guò)濾器 
調(diào)用 filter_input_array 函數(shù)，參數(shù)包括 GET 輸入變量及剛才設(shè)置的數(shù)組 
檢測(cè) $result 變量中的 "age" 和 "email" 變量是否有非法的輸入。（如果存在非法輸入，） 
filter_input_array() 函數(shù)的第二個(gè)參數(shù)可以是數(shù)組或單一過(guò)濾器的 ID。 

如果該參數(shù)是單一過(guò)濾器的 ID，那么這個(gè)指定的過(guò)濾器會(huì)過(guò)濾輸入數(shù)組中所有的值。 

如果該參數(shù)是一個(gè)數(shù)組，那么此數(shù)組必須遵循下面的規(guī)則： 

必須是一個(gè)關(guān)聯(lián)數(shù)組，其中包含的輸入變量是數(shù)組的鍵（比如 "age" 輸入變量） 
此數(shù)組的值必須是過(guò)濾器的 ID ，或者是規(guī)定了過(guò)濾器、標(biāo)志以及選項(xiàng)的數(shù)組 
使用 Filter Callback 
通過(guò)使用 FILTER_CALLBACK 過(guò)濾器，可以調(diào)用自定義的函數(shù)，把它作為一個(gè)過(guò)濾器來(lái)使用。這樣，我們就擁有了數(shù)據(jù)過(guò)濾的完全控制權(quán)。 

您可以創(chuàng)建自己的自定義函數(shù)，也可以使用已有的 PHP 函數(shù)。 

規(guī)定您準(zhǔn)備用到過(guò)濾器的函數(shù)，與規(guī)定選項(xiàng)的方法相同。 

在下面的例子中，我們使用了一個(gè)自定義的函數(shù)把所有 "_" 轉(zhuǎn)換為空格： 

復(fù)制代碼代碼如下:

<?php 
function convertSpace($string) 
{ 
return str_replace("_", " ", $string); 
} 

$string = "Peter_is_a_great_guy!"; 

echo filter_var($string, FILTER_CALLBACK, 
array("options"=>"convertSpace")); 
?> 

以上代碼的結(jié)果是這樣的： 

Peter is a great guy!例子解釋： 
上面的例子把所有 "_" 轉(zhuǎn)換成空格： 

創(chuàng)建一個(gè)把 "_" 替換為空格的函數(shù) 
調(diào)用 filter_var() 函數(shù)，它的參數(shù)是 FILTER_CALLBACK 過(guò)濾器以及包含我們的函數(shù)的數(shù)組 



在java中實(shí)現(xiàn)過(guò)濾器，很簡(jiǎn)單，只需要在web.xml中配置如： 
<filter> 
<filter-name>iSpaceAuth</filter-name> 
<filter-class> 
com.skylark.console.servlet.ISpaceLoginFilter 
</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>iSpaceAuth</filter-name> 
<url-pattern>/console/*</url-pattern> 
</filter-mapping> 
要想在PHP中實(shí)現(xiàn)一個(gè)類似的功能，因?yàn)槲业男枨笫沁@樣的，有個(gè)開(kāi)發(fā)好了的OA系統(tǒng)，要集成到我們的應(yīng)用中，OA要對(duì)外來(lái)的數(shù)據(jù)進(jìn)行過(guò)濾，在給自己處理。這樣就等于我必須寫一個(gè)Php文件進(jìn)行過(guò)濾，然后OA系統(tǒng)的文件都必須include該文件。這多恐怖，要重復(fù)的改好多代碼，而且，代碼的耦合度相當(dāng)?shù)母摺?nbsp;
查找PHP手冊(cè)發(fā)現(xiàn)了有一些過(guò)濾的東西， 
一、過(guò)濾函數(shù) 
filter_has_var — Checks if variable of specified type exists 檢查變量是否是指定的類型 
filter_id — Returns the filter ID belonging to a named filter 通過(guò)過(guò)濾器名得到過(guò)濾器的ID 
filter_input_array — Gets external variables and optionally filters them 
filter_input — Gets a specific external variable by name and optionally filters it 
filter_list — Returns a list of all supported filters 返回支持的過(guò)濾器列表 
filter_var_array — Gets multiple variables and optionally filters them 得到多個(gè)變量的值，每個(gè)變量選擇一個(gè)過(guò)濾器 
filter_var — Filters a variable with a specified filter 用指定的過(guò)濾器過(guò)濾變量 
以前沒(méi)使用過(guò)這個(gè)東東，今天試用下。 
<?php 
function convertSpace($string){ 
return str_replace("_", " ", $string); 
} 
$string = "Peter_is_a_great_guy!"; 
echo filter_var($string, FILTER_CALLBACK,array("options"=>"convertSpace")); 
?> 
會(huì)輸出 Peter is a great guy! 
發(fā)現(xiàn)PHP提供的過(guò)濾器只是對(duì)輸入數(shù)據(jù)的過(guò)濾。不能像java一樣，對(duì)整個(gè)項(xiàng)目訪問(wèn)進(jìn)行過(guò)濾。java的過(guò) 
濾器還能指定過(guò)濾規(guī)則。看到這個(gè)規(guī)則讓我想起了apache有個(gè)rewrite_rules的模塊。讓所有的訪問(wèn)都 
重定向到一個(gè)文件，那個(gè)文件就相當(dāng)于一個(gè)過(guò)濾器了。我個(gè)那個(gè)文件取名filter 
RewriteEngine on 
RewriteCond %{HTTP_HOST} ^(.*)host [NC] 
RewriteRule ^(.*) filter.php 
雖然這樣是可以實(shí)現(xiàn)。但是文件的組織方式必須是有規(guī)則的，就像單入口訪問(wèn)一樣的。通過(guò)在filter.php通過(guò)new一個(gè)訪問(wèn)對(duì)象， 
調(diào)用一個(gè)方法來(lái)訪問(wèn)頁(yè)面。 
單入口的代碼 

復(fù)制代碼代碼如下:

<?php 
require_once './config.php'; 
$act = isset($_REQUEST['act']) ? trim($_REQUEST['act']) : 'index'; 
$ctl = isset($_REQUEST['ctl']) ? trim($_REQUEST['ctl']) : 'default'; 
$ctl = strtolower($ctl); 
$act = strtolower($act); 
require_once ROOTPATH.'/'.'lib'.'/controller/'.$ctl.'.php'; 
$ctl = ucfirst($ctl).'Controller'; 
$act = $act.'Action'; 
$app = new $ctl($act); 

但是該OA實(shí)現(xiàn)的不是單入口訪問(wèn)。這樣的話訪問(wèn)的頁(yè)面就一直是filter.php跳轉(zhuǎn)之后又跳回來(lái)了。 
最后在發(fā)現(xiàn)在PHP的配置文件php.ini中可以配置 auto_prepend_file，該值的作用是在每個(gè)文件訪問(wèn) 
之前include該文件。這樣include的文件就相當(dāng)一個(gè)過(guò)濾器了。哈哈！該配置文件要重啟服務(wù)啊，有點(diǎn) 
郁悶，那有沒(méi)有改了之后不用重啟服務(wù)的方法呢？當(dāng)然有了，那就是采用.htaccess文件了。配置如 
下。 
RewriteEngine on 
php_value auto_prepend_file "D:/web/htdocs/demo1/filter.php" 不過(guò)這樣有個(gè)缺點(diǎn)就是，當(dāng)訪問(wèn)量大的時(shí)候，性能會(huì)受到影響。而直接在php.ini文件中改得花就不用 會(huì)了。還有個(gè)優(yōu)點(diǎn)就是如果把.htaccess文件某個(gè)目錄，只對(duì)該目錄有效。那么在web目錄下不是所有 的項(xiàng)目都會(huì)添加該文件。 下面我們來(lái)測(cè)試下。我建個(gè)項(xiàng)目叫demo該項(xiàng)目下的文件有


index.php 

復(fù)制代碼代碼如下:

echo "index.php \n"; 

filter.php 
代碼 

復(fù)制代碼代碼如下:

<?php 
echo 'filter'."\n"; 
$fileName = pathinfo($_SERVER['SCRIPT_FILENAME']); 

if($fileName['filename'] == 'index') 
{ 
header("location:".'./test.php'); 
} 

test.php 

復(fù)制代碼代碼如下:

<?php 
echo 'test'; 
?> 

我們?cè)趗rl 中輸入 http://localhost/demo/index.php 
結(jié)果是：filter test 

雖然實(shí)現(xiàn)了但是還是java的相差太多了.java的過(guò)濾器可以實(shí)現(xiàn)多個(gè),這個(gè)就不行了。還可以指定哪些訪問(wèn)要過(guò)濾，這個(gè)就不行了。 

附： 
1、apache rewrite模塊的啟用方法。 
在http.conf文件中找到LoadModule rewrite_module modules/mod_rewrite.so把前面的# 刪除。