Пара слов о программировании

PHP очень легок для изучения - особенно для начинающих программистов. Однако, в результате этого, легко забыть о действительно полезном функционале, предлагаемом PHP, особенно когда речь идет о безопасности скриптов. Дальше я опишу PHP фильтры и покажу, как легко их использовать, увеличивая тем самым безопасность приложения.

Что такое PHP фильтры?

Если вы писали любые скрипты предназначенные для публичного использования, вы должно быть знаете что никогда нельзя доверять данным введенным пользователем, а PHP фильтры помогут вам решить эту проблему. PHP фильтры реализованы в расширении PHP Filter Extension. Filter Extension это библиотека правил которые можно использовать для проверки и очистки данных введенных пользователем.

Как реализованы фильтры?

PHP фильтры выполняются через 2 функции filter_var() и filter_var_array() и флаги, передаваемые этим функциям. Флаг передаваемый функции определяет, какой фильтр вы хотите использовать.

Есть два типа фильтров для валидации и очистки данных. Фильтры для валидации возвращают первоначальные данные, если они прошли фильтр и false в противоположном случае. Фильтры очистки данных возвращают данные переданные им после удаления нужных символов, не прошедших проверку.

Посмотреть какие фильтры доступны можно с помощью функции filter_list(). Например:

print_r(filter_list());
//выводим на экран...
Array
(
    [0] => int
    [1] => boolean
    [2] => float
    [3] => validate_regexp
    [4] => validate_url
    [5] => validate_email
    [6] => validate_ip
    [7] => string
    [8] => stripped
    [9] => encoded
    [10] => special_chars
    [11] => unsafe_raw
    [12] => email
    [13] => url
    [14] => number_int
    [15] => number_float
    [16] => magic_quotes
    [17] => callback
)

Эти фильтры поддерживаются моим сервером, у вас данные могут быть другими. Рассмотрим несколько примеров, как можно использовать эти фильтры.

Для получения более подробной информации о функциях filter_var() и filter_var_array() обратитесь соответствующим разделам документации PHP

Фильтры для валидации данных

Проверка на целое число

Вы можете проверить является ли переменная целым числом используя флаг FILTER_VALIDATE_INT. Если является - функция вернет его. В противном же случае вернется False.

$var = 473;
filter_var($var, FILTER_VALIDATE_INT); //вернет 473
$var = 'hello';
filter_var($var, FILTER_VALIDATE_INT); //вернет FALSE
$var = 71.4;
filter_var($var, FILTER_VALIDATE_INT); //вернет FALSE

Для флага FILTER_VALIDATE_INT можно использовать дополнительные параметры: минимум, максимум и значение по умолчанию. Будьте внимательны при определении массива $options array, заметьте, это многомерный массив.

$var_1 = 73;
$var_2 = 246;
$options = array(
    'options' => array(
        'default' => 3,
        'min_range' => 0,
        'max_range' => 99,
    )
);
filter_var($var_1, FILTER_VALIDATE_INT, $options); //вернет 73
filter_var($var_2, FILTER_VALIDATE_INT, $options); //вернет 3

Обратите внимание, второй вызов filter_var() вернет 3, так как определенно значение по умолчанию в массиве $options.

Проверка на число с плавающей точкой

Проверка на число с плавающей точкой происходит так же как и проверка на целое число, только используется флаг FILTER_VALIDATE_FLOAT.

$var_1 = 45.3;
$var_2 = 246;
filter_var($var_1, FILTER_VALIDATE_FLOAT, $options); //вернет 45.3
filter_var($var_2, FILTER_VALIDATE_FLOAT, $options); //вернет 246

Обратите внимание, что целое число тоже проходит проверку этим фильтром.

Проверка адреса электронной почты

Вы можете использовать фильтры для проверки более абстрактных типов данных, таких как e-mail.

$var_1 = "test@test.ru";
$var_2 = "какие-то данные, но не e-mail";
filter_var($var_1, FILTER_VALIDATE_EMAIL); //вернет test@test.ru
filter_var($var_2, FILTER_VALIDATE_EMAIL); //вернет FALSE

Однако, этот метод не так хорош, как хорошо написанное регулярное выражение. Так, к примеру, e-mail a@a.a проверку фильтром пройдет, хоть и не должен. Следующее регулярное выражение - более лучшее решение этой проблемы:

$pattern = '/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/';
$email_1 = 'test@test.ru';
$email_2 = 'a@a.a';
preg_match($pattern, $email_1); // вернет TRUE
preg_match($pattern, $email_2); //вернет FALSE

Проверка на правильность URL`а

Проверка URL происходит несколько сложнее, кроме основного флага, используется несколько дополнительных, которые уточняют что именно проверяется. Вот список этих флагов:

• FILTER_FLAG_SCHEME_REQUIRED
• FILTER_FLAG_HOST_REQUIRED
• FILTER_FLAG_PATH_REQUIRED
• FILTER_FLAG_QUERY_REQUIRED

Взглянем на примеры:

$var_1 = 'http://kron0s.com';
$var_2 = 'http://kron0s.com/path/to/some/file';
$var_3 = 'http://kron0s.com/path/to/some/file/?foo=bar';
$var_4 = 'www.kron0s.com';
$var_5 = 'some_file.html';
$var_6 = "/path/to/some/file";
filter_var($var_1, FILTER_VALIDATE_URL); // вернет http://kron0s.com
filter_var($var_1, FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED); // вернет FALSE
filter_var($var_2, FILTER_VALIDATE_URL); //вернет  http://kron0s.com/path/to/some/file
filter_var($var_2, FILTER_VALIDATE_URL, FILTER_FLAG_QUERY_REQUIRED); // вернет FALSE
filter_var($var_3, FILTER_VALIDATE_URL); // вернет http://kron0s.com/path/to/some/file/?foo=bar
filter_var($var_4, FILTER_VALIDATE_URL); // вернет FALSE
filter_var($var_5, FILTER_VALIDATE_URL); // вернет FALSE
filter_var($var_6, FILTER_VALIDATE_URL); // вернет FALSE

Проверка правильности IP адреса

Валидация IP-адресов осуществляется очень просто. используя флаг FILTER_VALIDATE_IP, у которого есть несколько дополнительных параметров. К примеру, вы можете проверять ipv6 адреса.

FILTER_FLAG_IPV4FILTER_FLAG_IPV6FILTER_FLAG_NO_PRIV_RANGEFILTER_FLAG_NO_RES_RANGE

$var_1 = '192.168.0.1';
$var_2 = '543.152.3.9';
$var_3 = '3ffe:1900:4545:3:200:f8ff:fe21:67cf';
echo filter_var($var_1, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4); // вернет 192.168.0.1
echo filter_var($var_2, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4); // вернет FALSE
echo filter_var($var_3, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6); // вернет 3ffe:1900:4545:3:200:f8ff:fe21:67cf

Заметьте, что 543.152.3.9 вернет false, так как не может быть больше чем 255.255.255.255.

Параметры FILTER_FLAG_NO_PRIV_RANGE и FILTER_FLAG_NO_RES_RANGE позволяют проверить входит ли адрес в диапазон частных или зарезервированных адресов.

PHP фильтры для очистки данных

Очистка строк

Очистка данных осуществляется так же легко как и валидация. Функция filter_var() просто удаляет нежелательные символы и возвращает новые данные. Небольшой пример:

$var_1 = 'какая-то строка';
$var_2 = '"какая-то строка"';
filter_var($var_1, FILTER_SANITIZE_STRING); //вернет какая-то строка
filter_var($var_2, FILTER_SANITIZE_STRING); //вернет "какая-то строка"

Очистка целых чисел

$var_1 = 123214;
$var_2 = '213h34bh312';
filter_var($var_1, FILTER_SANITIZE_NUMBER_INT); //вернет 123214
filter_var($var_2, FILTER_SANITIZE_NUMBER_INT); //вернет 21334312

Использование своих функций в фильтрах

Возможна одна из лучших возможностей функции filter_var() это флаг FILTER_CALLBACK, который позволяет вам определить свои правила функции обратного вызова. Если вы не нашли нужного вам правила, определите свое с помощью этого флага.

function my_rule($str) {
  return str_replace(" ", "+", $str);
}
$var_1 = "некая строка с пробелами";
$options = array(
    'options' => 'my_rule'
);
filter_var($var_1, FILTER_CALLBACK, $options); //вернет "некая+строка+с+пробелами"

Заключение

Надеюсь этот пост даст вам новые знания о PHP или освежит вашу память. Для краткости я не стал перечислять все возможные флаги, а описанные мною используются наиболее часто. Если вам интересна более подробная информация об этих и остальных флагах - смотрите соответствующий раздел документации PHP.