filter validate int php
Filter validate int php
Возвращает TRUE для значений «1», «true», «on» и «yes». Иначе возвращает FALSE.
Если установлен флаг FILTER_NULL_ON_FAILURE, то FALSE возвращается только для значений «0», «false», «off», «no» и «», а NULL будет возвращен для всех небулевых значений.
php validate integer
I`m wonder why this not working
7 Answers 7
To test if a variable is a number or a numeric string (such as form input, which is always a string), you must use is_numeric().
Alternative you can use the regex based test as:
To validate form data (string) as an integer, you should use ctype_digit() It returns TRUE if every character in the string text is a decimal digit, FALSE otherwise. (PHP 4 >= 4.0.4, PHP 5)
It sounds like you are checking if a string contains an integer, rather than if that variable is an integer. If so, you should check out php’s regex (regular expression) functionality. It allows you to check for very specific patterns in a string to validate it for whatever criteria. (such as if it contains only number characters)
I take a slightly more paranoid approach to sanitizing GET input
To be even safer, you can extract only numbers first and then run the function above
Not the answer you’re looking for? Browse other questions tagged php or ask your own question.
Linked
Related
Hot Network Questions
Subscribe to RSS
To subscribe to this RSS feed, copy and paste this URL into your RSS reader.
site design / logo © 2021 Stack Exchange Inc; user contributions licensed under cc by-sa. rev 2021.9.16.40232
By clicking “Accept all cookies”, you agree Stack Exchange can store cookies on your device and disclose information in accordance with our Cookie Policy.
filter_var
(PHP 5 >= 5.2.0, PHP 7, PHP 8)
filter_var — Filters a variable with a specified filter
Description
Parameters
Value to filter. Note that scalar values are converted to string internally before they are filtered.
The ID of the filter to apply. The Types of filters manual page lists the available filters.
Associative array of options or bitwise disjunction of flags. If filter accepts options, flags can be provided in «flags» field of array. For the «callback» filter, callable type should be passed. The callback must accept one argument, the value to be filtered, and return the value after filtering/sanitizing it.
Return Values
Returns the filtered data, or false if the filter fails.
Examples
Example #1 A filter_var() example
The above example will output:
See Also
User Contributed Notes 37 notes
Pay attention that the function will not validate «not latin» domains.
if (filter_var(‘уникум@из.рф’, FILTER_VALIDATE_EMAIL)) <
echo ‘VALID’;
> else <
echo ‘NOT VALID’;
>
localpart.ending.with.dot.@example.com is not valid
(comment)localpart@example.com is not valid
«this is v@lid!»@example.com is not valid
«much.more unusual»@example.com is not valid
postbox@com is not valid
admin@mailserver1 is not valid
«()<>[]:,;@\»\\!#$%&’*+-/=?^_`<>|
.a»@example.org is not valid
» «@example.org is not valid
The documentation does not saying that FILTER_VALIDATE_EMAIL should pass the RFC5321, however you can meet with these examples (especially with the first one). So this is a note, not a bug report.
note that FILTER_VALIDATE_BOOLEAN tries to be smart, recognizing words like Yes, No, Off, On, both string and native types of true and false, and is not case-sensitive when validating strings.
And this is also a valid url
The note from «hek» about HTML5 having patterns thus alleviating the need to filter in PHP is completely wrong: You still must filter input on the server side. The HTML5 form inputs are client-side, meaning they are completely under the user’s control. Only when you receive the data in PHP is it server-side and under your control. Once the data is under your control, then you must filter/sanitize it properly.
This is true regardless of server-side language. I would encourage the moderators to remove the note from «hek» because it will mislead people with horrible consequences.
Where the %0A (URL encoded newline), in certain contexts, will split the comment from the JS code.
This can result in an XSS vulnerability.
I wrote a JavaScript email validator fully compatible with PHP’s filter_var() implementation.
mpyw/FILTER_VALIDATE_EMAIL.js: Email validation compatible with PHP’s filter_var($value, FILTER_VALIDATE_EMAIL)
https://github.com/mpyw/FILTER_VALIDATE_EMAIL.js
please note FILTER_VALIDATE_URL passes following url
N.B.: if you need to accept 0’s, you could use is_int()
Using the FILTER_CALLBACK requires an array to be passed as the options:
Here’s an actual example of the filter syntax with a flag since there doesn’t appear to be a one liner for this anywhere:
‘hours’ => array(‘filter’=>FILTER_SANITIZE_NUMBER_FLOAT, ‘flags’ => FILTER_FLAG_ALLOW_FRACTION, ‘options’=> ‘.’)
I won’t recommend using this function to validate email addresses on a normal website. The problem is that in accordance with RFC 3696 (Application Techniques for Checking and Transformation of Names) the following email addresses would be considered as valid:
Hardly something I would accept in a live web app in 2020 :-/
Here is how to use multiple flags (for those who learn better by example, like me):
Here’s a simple test using filter_var with FILTER_VALIDATE_URL.
(If you’re using file_get_contents after this you will run into a problem, I was using: PHP 5.5.12 (cli))
Some boolean conversions:
FILTER_VALIDATE_URL does not support internationalized domain name (IDN). Valid or not, no domain name with Unicode chars on it will pass validation.
We can circumvent this with a home grown solutions, but C code is C code, so I’ve gone for the code bellow, which builds on filter_var().
An alternative will be to punycode the URI before calling filter_var(), but PHP lacks native support for punycode. I think my approach is effective. Please e-mail me if you think otherwise or see room for improvement.
One key thing to remember about filtering integers is that the value for the option max_range must be less than or equal to the value of PHP_INT_MAX.
filter_var($someVariable, FILTER_VALIDATE_INT, array(‘options’ => array(‘min_range’ => 1, ‘max_range’ => SOME_VALUE_GREATER_THAN_PHP_INT_MAX)));
This can show up when you are attempting to validate a potential key for an unsigned MySQL INT type (whose maximum value is 4294967295) on a 32-bit system, where the value of PHP_INT_MAX is 2147483647.
I managed to get this to work with PHP 5.1.6 on CentOS 5 with minor difficulty.
Keep in mind that FILTER_VALIDATE_EMAIL will validate the email address according to standards.
However, giving the fact that organizations are free to restrict the forms of their own email addresses, using ONLY this filter can you a lot of bounces.
gmail, yahoo, hotmail, aol have special rules
//there can be no «0hotmail_check@hotmail.com»
//because hotmail will say «Your email address needs to start with a letter. Please try again.» even if you remove the ‘
?>
FILTER_SANITIZE_EMAIL header injection test.
Note that only using FILTER_VALIDATE_URL to validate url’s input may result in XSS:
if (filter_var($url, FILTER_VALIDATE_URL, FILTER_FLAG_SCHEME_REQUIRED)) <
echo ‘click’;
>
You should at least additionally check the actually used scheme.
Many people, myself included, have found that the FILTER_VALIDATE_EMAIL does not actually properly work.
Below is a wrapper that I believe validates every legal routable address.
Note that when using FILTER_VALIDATE_INT along with the FILTER_FLAG_ALLOW_HEX flag, the string «2f», for example, is not validated successfully, because you must use the «0x» prefix, otherwise, it treats the data as base 10.
The range options are also smart enough to recognize when the boundaries are exceeded in different bases.
It is important to note that though the data type of the first parameter of the function is stated as «mixed», this is only one half of the truth.
While it accepts any data type, the first parameter will always be cast to string before being validated or sanitized.
It seems that this function was designed strictly to be used on user input strings. For example: from an online-form. When using it for anything other than that, you may see issues. So read the documentation very carefully!
Especially note that there is an (to date) unresolved issue (#49510) concerning the Boolean filter while using the FILTER_NULL_ON_FAILURE flag. Note that both (string) FALSE and FALSE are not recognized as boolean values and will return NULL (not FALSE as you might expect).
I thus personally suggest that (to date) the best way to take the filter_var()-functions beyond their original purpose (and allow future extension and customization) is to wrap them in your own classes. This will allow you to work-around unexpected behavior on non-string input and add your custom checks, or back-port filters or sanitizers that may be added in later versions of PHP.
(Especially since PHP currently still lacks filters and sanitizers for some of the more exotic HTML5 input types, like «color». Thus there actually is a chance that we may see a need for custom filters or backports at some point in the future.)
Фильтрация данных встроенными фильтрами PHP
Дата публикации: 2015-03-24
От автора: При создании сайтов или веб-приложений, так или иначе, необходимо фильтровать данные, полученные от пользователя. В первую очередь, это необходимо для обеспечения безопасности, а также для хранения данных в правильном формате. Для этого в версии 5.2 интерпретатора языка PHP была добавлена секция фильтр, что позволяет как фильтровать, так и очищать входные данные. Поэтому в данном уроке мы рассмотрим функции, которые позволяют выполнять фильтрацию данных, а также непосредственно доступные фильтры.
Функции для фильтрации
Первым делом хотел бы отметить, что для использования функций фильтров, Вам необходим интерпретатор языка PHP версии 5.2 и выше. Ознакомиться с официальной документацией по встроенным фильтрам можно по ссылке //php.net/manual/ru/book.filter.php.
Бесплатный курс по PHP программированию
Освойте курс и узнайте, как создать динамичный сайт на PHP и MySQL с полного нуля, используя модель MVC
В курсе 39 уроков | 15 часов видео | исходники для каждого урока
Начнем изучение с функции filter_list(), которая вернет массив имен доступных фильтров.
В результате мы получим следующий массив:
Далее мы можем получить идентификатор интересующего фильтра, передав его имя в функцию filter_id(), которая возвращает идентификатор, принадлежащий именованному фильтру. Конечно, все идентификаторы сохранены в специальных константах, но если Вы забыли имя константы, функция filter_id(), Вам очень пригодится. К примеру, узнаем идентификатор фильтра number_int:
В результате мы получим число 519 – это соответствует значению константы FILTER_SANITIZE_NUMBER_INT.
Следующие функции, которые предстоит рассмотреть, работают непосредственно с фильтрами, поэтому предлагаю изучать их вместе.
Фильтры валидации данных
$type – тип переменной (равен значению одной из констант рассмотренных выше);
$variable_name – имя интересующей переменной (ячейка суперглобального массива);
$filter – идентификатор фильтра.
$options – массив опций, который может содержать параметры и флаги, необходимые для настройки фильтра. Для указания флага, необходимо создать ячейку flags, для указания параметров – options.
К примеру, создадим небольшую форму:
В обработчике, отфильтруем значение, которое передается через текстовое поле string:
Как Вы видите я вызвал на исполнение функцию filter_input(), и передал третьим параметром фильтр FILTER_VALIDATE_BOOLEAN, который возвращает TRUE для значений «1″, «true», «on» и «yes», иначе возвращает FALSE. Соответственно если в форме ввести значение 1 – на экране мы увидим строку YES. Если передать в массив
$options флаг FILTER_NULL_ON_FAILURE – фильтр будет возвращать NULL вместо FALSE.
Фильтр валидации email
FILTER_VALIDATE_EMAIL – фильтр возвращает TRUE, если проверяемое значение, является валидным email адресом.
Фильтр валидации числа с плавающей точкой
Фильтр валидации целочисленных значений
FILTER_VALIDATE_INT — Проверяет, что значение является корректным целым числом, и, при необходимости, входит в определенный диапазон. Поддерживает два флага FILTER_FLAG_ALLOW_OCTAL и FILTER_FLAG_ALLOW_HEX, которые разрешают использование чисел восьмеричной и шестнадцатеричной, соответственно, систем исчисления. Помимо этого, фильтр принимает два параметра, то есть диапазон чисел, который должно удовлетворять проверяемое значение.
Если в текстовую форму ввести число в диапазоне от 3 до 10, как результат мы получим YES.
Фильтр валидации IP адреса
FILTER_VALIDATE_IP – возвращает истину, если проверяемое значение соответствует IP адресу. Поддерживает следующие флаги:
FILTER_FLAG_IPV4 – IP адрес должен соответствовать адресу формата IPV4;
Бесплатный курс по PHP программированию
Освойте курс и узнайте, как создать динамичный сайт на PHP и MySQL с полного нуля, используя модель MVC
В курсе 39 уроков | 15 часов видео | исходники для каждого урока
FILTER_FLAG_IPV6 — IP адрес должен соответствовать адресу формата IPV6;
FILTER_FLAG_NO_PRIV_RANGE – адрес не должен соответствовать диапазону локальных адресов;
FILTER_FLAG_NO_RES_RANGE — запрещает успешное прохождение проверки для зарезервированных адресов.
Фильтр соответствия шаблону регулярного выражения
В данном примере, проверку пройдет строка, состоящая только из цифр.
Фильтр валидации URL
FILTER_VALIDATE_URL – проверяет, соответствует ли строка URL адресу. Поддерживает два флага: FILTER_FLAG_PATH_REQUIRED – URL, обязательно должен содержать полный путь (то есть вместе с доменом сайта, должно быть имя выполняемого файла) и FILTER_FLAG_QUERY_REQUIRED – строка URL, обязательно должна содержать строку с GET параметрами.
С фильтрами валидации, мы закончили, теперь давайте рассмотрим еще одну функцию, которая позволяет выполнять проверку не одной переменной, а целого массива.
$type – тип проверяемой переменной (дин из INPUT_GET, INPUT_POST, INPUT_COOKIE, INPUT_SERVER);
$definition – массив, определяющий условия фильтрации.
К примеру, если мы передаем методом POST две переменные – number и summ, то для валидации данных полей с помощью функции filter_input_array(), необходимо:
Фильтры очистки данных
Перед изучением фильтров данной группы, изучим последние две функции, фильтрации данных.
Функция filter_var() – фильтрует переменную с помощью определенного типа и возвращает отфильтрованные данные. Первым параметром необходимо передать имя переменной, которую нужно отфильтровать, вторым – идентификатор фильтра, третьим – массив опций.
Фильтры очистки данных, выполняют непосредственные манипуляции с данными, а именно очищают данные по заданному условию.
Фильтр очистки email
Фильтр кодирования символов
Флаги: FILTER_FLAG_STRIP_LOW – удаляет символы ANCII код, которых меньше 32, FILTER_FLAG_STRIP_HIGH – удаляет символы ANCII код, которых больше 122, FILTER_FLAG_ENCODE_LOW– кодирует символы ANCII код, которых меньше 32, FILTER_FLAG_ENCODE_HIGH – кодирует символы ANCII код, которых больше 122.
Фильтр экранирования кавычек
FILTER_SANITIZE_MAGIC_QUOTES – при использовании данного фильтра вызывается функция addslashes().
Фильтры очистки чисел
Фильтры очистки строк
FILTER_SANITIZE_SPECIAL_CHARS – фильтр экранирует HTML-символы ‘»<>& и символы с ASCII-кодом, меньшим 32, при использовании флагов удаляет или кодирует остальные специальные символы. Поддерживаются флаги: FILTER_FLAG_STRIP_LOW, FILTER_FLAG_STRIP_HIGH, FILTER_FLAG_ENCODE_HIGH.
FILTER_SANITIZE_FULL_SPECIAL_CHARS – полностью аналогичен работе функции htmlspecialchars(). Для отключения кодирования кавычек, необходимо использовать флаг FILTER_FLAG_NO_ENCODE_QUOTES.
Вот собственно и все, что я хотел Вам сказать в данном уроке. Всего Вам доброго, удачного кодирования и до новых средств.
Бесплатный курс по PHP программированию
Освойте курс и узнайте, как создать динамичный сайт на PHP и MySQL с полного нуля, используя модель MVC
В курсе 39 уроков | 15 часов видео | исходники для каждого урока
Разработка веб-приложения на PHP
Создайте веб-приложение на PHP на примере приема платежей на сайте
Filter validate int php
Reg.ru: домены и хостинг
Крупнейший регистратор и хостинг-провайдер в России.
Более 2 миллионов доменных имен на обслуживании.
Продвижение, почта для домена, решения для бизнеса.
Более 700 тыс. клиентов по всему миру уже сделали свой выбор.
Бесплатный Курс «Практика HTML5 и CSS3»
Освойте бесплатно пошаговый видеокурс
по основам адаптивной верстки
на HTML5 и CSS3 с полного нуля.
Фреймворк Bootstrap: быстрая адаптивная вёрстка
Пошаговый видеокурс по основам адаптивной верстки в фреймворке Bootstrap.
Научитесь верстать просто, быстро и качественно, используя мощный и практичный инструмент.
Верстайте на заказ и получайте деньги.
Что нужно знать для создания PHP-сайтов?
Ответ здесь. Только самое важное и полезное для начинающего веб-разработчика.
Узнайте, как создавать качественные сайты на PHP всего за 2 часа и 27 минут!
Создайте свой сайт за 3 часа и 30 минут.
После просмотра данного видеокурса у Вас на компьютере будет готовый к использованию сайт, который Вы сделали сами.
Вам останется лишь наполнить его нужной информацией и изменить дизайн (по желанию).
Изучите основы HTML и CSS менее чем за 4 часа.
После просмотра данного видеокурса Вы перестанете с ужасом смотреть на HTML-код и будете понимать, как он работает.
Вы сможете создать свои первые HTML-страницы и придать им нужный вид с помощью CSS.
Бесплатный курс «Сайт на WordPress»
Хотите освоить CMS WordPress?
Получите уроки по дизайну и верстке сайта на WordPress.
Научитесь работать с темами и нарезать макет.
Бесплатный видеокурс по рисованию дизайна сайта, его верстке и установке на CMS WordPress!
Хотите изучить JavaScript, но не знаете, как подступиться?
После прохождения видеокурса Вы освоите базовые моменты работы с JavaScript.
Развеются мифы о сложности работы с этим языком, и Вы будете готовы изучать JavaScript на более серьезном уровне.
*Наведите курсор мыши для приостановки прокрутки.
Валидация и очистка данных средствами PHP
Безопасность данных является очень важным моментом, который часто недооценивается как разработчиками, так и клиентами. Начиная с PHP 5.2.0 производить очистку и валидацию данных (проверку на соответствие определенным критериям) стало проще с введением фильтрации данных. Сегодня мы рассмотрим способы фильтрации, как использовать фильтры и создадим несколько пользовательских функций.
Введение
Я всегда чувствовал, что писать код на PHP легко, а еще легче писать на PHP плохой код. Широкому распространению PHP в сфере веб-разработки способствовали многие проекты с открытым исходным кодом (open-source) вроде WordPress, Drupal, Magento. Кроме того это и веб-приложения вроде Facebook и т.д. При столь широком применении PHP (динамические веб-сайты, платформы для блоггинга, системы управления контентом, использование в приложениях для электронной коммерции и др.) вероятность столкнуться с «грязной» информацией и небезопасными системами очень велика. Данное руководство покажет некоторые методы очистки и валидации данных с помощью PHP. Мы сфокусируем внимание на нескольких типах входных данных и на том, как использовать PHP-фильтры и пользовательские функции.
Зачем очищать и проверять?
Это способ инъекции кода, когда скрипт внедряется в страницу атакуемого вебсайта с совершенно другого сайта на другом сервере. Эта уязвимость считается одной из самых распространенных в сети.
— SQL-инъекция
Следующей популярной уязвимостью является другая форма инъекции кода, которая позволяет реализовывать различные виды вредоносного поведения, включая несанкционированный доступ к информации, изменение информации в базе данных либо иное нарушения нормального функционирования веб-приложения. Осуществляется данная атака путем внедрения в запрос произвольного SQL-кода, предназначенного для взаимодействия с базой данных.
— Некорректная информация
Некорректная информация сама по себе не является «уязвимостью». Однако такая информация во многих случаях приводит к возникновению ряда проблем как для владельца сайта, так и для администратора баз данных. Зачастую некорректная по структуре информация приводит к нарушениям в работе, особенно если сайт реализован на любительском уровне, не по стандартам а также к сбоям в работе автоматизированных систем, ожидающих для обработки четко структурированные данные в определенном формате.
Перевод диалога к картинке:
— Здравствуйте, это из школы сына вас беспокоят. У нас тут неприятность с компьютерами.
— О Боже, он что, что-то сломал?
— Вашего сына действительно зовут Robert’); DROP TABLE students;?
— О, да, мы зовем его Little Bobby Tables
— Вы понимаете, мы потеряли все записи по ученикам этого года. Надеюсь, вы довольны.
— А я надеюсь, вы научитесь проверять заносимую в базу данных информацию.
Для наших целей мы будем фокусироваться только на использовании серверных методов повышения безопасности информации, поэтому давайте посмотрим, как определяются термины «sanitization» и «validation» применительно к PHP. Обратимся к руководству по PHP:
«Валидация используется для проверки того, отвечает ли проверяемая информация определенным требованиям. Например, используя FILTER_VALIDATE_EMAIL мы определяем, является ли информация корректным (т.е. верным по структуре) e-mail-адресом, но не изменяем эти данные.
По сути, если представить ваш сайт как ночной клуб, в который каждый хочет попасть, валидация занимается проверкой наличия гостя в списке приглашенных, очистка (sanitization) выступает в роли вышибалы, который не допускает в клуб нежелательных элементов. Примерно так.
Какие фильтры есть у меня?
Все инсталляции PHP не могут быть идентичными. Несмотря на то, что фильтры были введены в PHP 5.2.0, не все инсталляции имеют одинаковый набор фильтров. В большинстве случаев все фильтры, о которых мы будем говорить, будут уже включены в установленный PHP на вашем сервере, но чтобы вы чуть больше знали о фильтрах, мы узнаем о том, что доступно именно на вашем сервере. В исходных кодах приложен файл getfilters.php, который, будучи однажды установленным и запущенным на сервере, отобразит список всех ваших фильтров (как фильтры информации, доступные через функцию filter_var, так и потоковые, доступные через stream_filter_append)
Сначала мы получаем массив, содержащий список всех доступных фильтров с помощью функции filter_list, после чего проходим циклом по массиву, выводя на экран имя фильтра и его ID.
Как мне использовать фильтр?
Фильтры PHP для валидации и очистки активируются посредством передачи функции filter_var как минимум двух параметров. В качестве примера давайте применим фильтр очистки для целого числа:
В этом примере у нас есть переменная value, которую мы передаем функции filter_var из расширения PHP Filters Extension, используя фильтр FILTER_SANITIZE_NUMBER_INT. В качестве результата мы получим:
Фильтр очистки для целых числе удаляет все символы, не являющиеся целыми числами, выдавая нам «чистое» целое число. В исходниках вы можете попробовать различные входные данные, и к ним будет применяться ряд общих фильтров. В архив включены различные строки, которые вы можете использовать в качестве тестового материала самостоятельно.
Что делают различные фильтры?
Список ниже неполный, но он содержит большинство фильтров, которые идут в стандартной установке PHP 5.2.0+.
FILTER_VALIDATE_EMAIL: Проверяет, является ли переданная информация корректным с точки зрения структуры e-mail адресом. Она не проверяет, существует ли этот адрес на самом деле, а только валидность адреса, т.е. правильность его структуры. Скрипт ниже выведет TRUE для примера с переменной value01 и FALSE для примера с переменной value02 (так как не хватает обязательной части со знаком @):
FILTER_VALIDATE_FLOAT: Проверяет, является ли переданное значение числом с плавающей точкой. Скрипт ниже выведет TRUE для примера с переменной value01 и FALSE для примера с переменной value02 (так как разделить «,» не разрешен в числах с плавающей точкой):
FILTER_VALIDATE_INT: Проверяет, является ли переданное значение целым числом. Скрипт ниже выведет TRUE для примера с переменной value01 и FALSE для примера с переменной value02 (десятичные числа не являются целыми):
FILTER_VALIDATE_IP: Проверяет, является ли переданное значение корректным IP-адресом. Она не проверяет, есть ли ответ от этого адреса, а лишь то, что переданное значение по своей структуре является IP-адресом. Скрипт ниже выведет TRUE для примера с переменной value01 и FALSE для примера с переменной value02:
FILTER_VALIDATE_URL: Проверяет, является ли переданное значение корректным URL-адресом. Она не проверяет, она не проверяет доступность ресурса, а лишь то, что соблюдена структура URL-адреса. Скрипт ниже выведет TRUE для примера с переменной value01 и FALSE для примера с переменной value02:
FILTER_SANITIZE_STRING: По умолчанию данный фильтр удаляет любую некорректную или не разрешенную информацию в строке. Например, она удалит любые тэги HTML вроде или ‘; echo filter_var($value, FILTER_SANITIZE_STRING);
Данный скрипт удалит тэги и вернет следующее:
FILTER_SANITIZE_ENCODED: Многие программисты используют функцию urlencode(). Данный фильтр по сути выполняет те же функции. Например, следующий пример выполнит кодирование любых спецсимволов и пробелов во входящей строке:
Скрипт закодирует пунктуацию, пробелы, скобки и вернет следующее:
FILTER_SANITIZE_SPECIAL_CHARS: Данный фильтр по умолчанию производит HTML-кодирование спецсимволов вроде кавычек, амперсандов и скобок. Так как демо-страница не может явно показать это (так как HTML-кодированные спецсимволы будут проинтерпретированы браузером и отображены), вы можете увидеть это, если заглянете в исходный код:
Произойдет конвертация спецсимволов в их HTML-сущности:
FILTER_SANITIZE_EMAIL: Этот фильтр делает именно то, о чем подумал каждый из нес. Он удаляет из адреса символы, которых не должно быть в адресе (круглые и квадратные скобки, двоеточия и т.п.) Положим, вы случайно добавили в ваш адрес скобки вокруг какой-либо буквы (не спрашивайте, как, включите ваше воображение:))
Произойдет удаление скобок и вы получите на выходе свой чистый и красивый е-mail:
Это отличный фильтр, который можно использовать в формах для ввода e-mail, особенно в паре с FILTER_VALIDATE_EMAIL, что позволит снизить число ошибок пользователей и предотвратить атаки типа XSS.
Таким образом мы удалим ненужный знак «®» и получим нормальный адрес:
FILTER_SANITIZE_NUMBER_INT: Данный фильтр похож на FILTER_VALIDATE_INT, но вместо простой проверки на то, является ли число целым, он еще и удаляет все, что не является целым числом. Отличная вещь, особенно против надоедливых спам-ботов и обманщиков, норовящих ввести в поле какую-нибудь ерунду:
Оба набора символов преобразуются и на выходе получаем следующую картину:
FILTER_SANITIZE_NUMBER_FLOAT: Похож на FILTER_VALIDATE_INT. Точно также позволяет добиться аналогичного эффекта:
Оба набора символов преобразуются и на выходе получаем следующую картину:
Точка будет удалена и возвращено значение:
Так мы можем сохранить десятичную часть и получить в итоге:
Другие методы очистки информации средствами PHP
Сейчас мы рассмотрим несколько ключевых методов очистки данных для предотвращения атаки на ваше приложение. Они особенно актуальны для тех приложений, которые по-прежнему работают на PHP4, так как появились с его релизом.
htmlspecialchars: эта функция PHP преобразует 5 специальных символов в соответствующие HTML-сущности.
& (амперсанд)
» (двойные кавычки) когда не установлен флаг ENT_NOQUOTES
’ (одинарные кавычки) только когда установлен флаг ENT_QUOTES
(больше, чем)
Используется данная функция точно так же, как и любая другая в PHP:
htmlentities: Подобно функции htmlspecialchars эта функция конвертирует специальные символы в их HTML-сущности. Все отличие в том, что в данном случае конвертируются все спецсимволы, которые могут быть конвертированы. Это достаточно распространенный метод для запутывания (обфускации) e-mail-адресов от спам-ботов, так как далеко не все из них настроены на чтение html-сущностей:
mysql_real_escape_string: Это функция MySQL, помогающая защититься от атак типа SQL-инъекция. Считается хорошей практикой (а по сути необходимостью) пропускать всю информацию передаваемую SQL-запросу через эту функцию. Она экранирует все опасные спецсимволы, которые могут вызвать проблемы и стать причиной того, что little Bobby Tables уничтожит еще одну таблицу в школьной базе данных.
Пользовательские функции
Для многих людей встроенных функций и фильтров может оказаться недостаточно. Часто может потребоваться более жесткая и узкая валидация или очистка. Чтобы добиться нужных результатов многие сами пишут функции для валидации данных. В качестве примера можно привести вариант поиска в базе данных значений определенного типа, вроде:
Другие пользовательские функции могут быть не связаны с базой напрямую, а заниматься подготовкой информации перед вставкой в базу:
Возможности почти безграничны, особенно при использовании регулярных выражений. Однако, для большинства случаев, применение фильтров уже способно решить необходимые задачи.
Исходники
P.S. Если вы хотите взять хороший старт в изучении PHP, обратите внимание на бесплатный курс по созданию своей CMS-системы на PHP с нуля. Используется объектно-ориентированный подход, поэтому вы сразу будете привыкать к хорошему:
Понравился материал и хотите отблагодарить?
Просто поделитесь с друзьями и коллегами!