php 过滤提交数据

基础概念

PHP 过滤提交数据是指在处理用户通过表单提交的数据时，对数据进行验证和清理，以确保数据的合法性、安全性和完整性。这通常涉及到两个方面：数据验证（验证数据的格式和内容是否符合要求）和数据清理（去除或替换潜在的危险字符，防止注入攻击等）。

类型

内置函数过滤：PHP 提供了一些内置函数用于过滤和验证数据，如 filter_var()、filter_input() 等。
正则表达式：使用正则表达式来验证数据的格式。
自定义验证逻辑：根据具体需求编写自定义的验证逻辑。

应用场景

表单处理：在处理用户提交的表单数据时，确保数据的合法性和安全性。
API 接口：在提供 API 接口时，验证和清理客户端提交的数据。
数据库操作：在将用户输入的数据插入数据库之前，进行必要的过滤和验证。

示例代码

以下是一个使用 filter_var() 函数进行数据过滤的示例：

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $name = filter_input(INPUT_POST, 'name', FILTER_SANITIZE_STRING);
    $email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
    $age = filter_input(INPUT_POST, 'age', FILTER_VALIDATE_INT);

    if ($age === false) {
        echo "年龄必须是整数。";
    } else {
        echo "姓名: " . htmlspecialchars($name) . "<br>";
        echo "邮箱: " . htmlspecialchars($email) . "<br>";
        echo "年龄: " . htmlspecialchars($age) . "<br>";
    }
}
?>

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
  姓名: <input type="text" name="name"><br>
  邮箱: <input type="text" name="email"><br>
  年龄: <input type="text" name="age"><br><br>
  <input type="submit" value="提交">
</form>

参考链接

常见问题及解决方法

问题：为什么过滤提交数据很重要？

原因：用户提交的数据可能包含恶意代码或不合法的数据格式，如果不进行过滤和验证，可能会导致安全漏洞和数据错误。

解决方法：使用 PHP 提供的内置函数或自定义逻辑对数据进行严格的过滤和验证。

问题：如何防止 SQL 注入？

原因：SQL 注入攻击是通过在用户输入中插入恶意 SQL 代码，从而获取、修改或删除数据库中的数据。

解决方法：使用预处理语句（如 PDO 或 MySQLi 的预处理语句）来防止 SQL 注入。同时，对用户输入进行过滤和验证。

<?php
$pdo = new PDO('mysql:host=localhost;dbname=test', $user, $pass);

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);
$stmt->execute();

$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
?>

通过以上方法，可以有效过滤和验证用户提交的数据，确保系统的安全性和数据的完整性。