PHP代码怎么验证输入_ PHP输入验证规则与过滤函数详解

<blockquote>PHP输入验证的核心原则包括：永不信任用户输入、区分验证与过滤、白名单优于黑名单、尽早验证、提供清晰错误反馈、覆盖所有攻击面，需结合filter_var()等内置函数、正则表达式、自定义验证逻辑、预处理语句、CSRF令牌及输出转义，构建多层次安全防护体系。</blockquote><p><img src=”https://img.php.cn/upload/article/001/503/042/175842972237936.png” alt=”php代码怎么验证输入_ php输入验证规则与过滤函数详解”></p><p>PHP代码验证输入的核心，在于我们不能无条件信任任何来自外部的数据。无论是用户提交的表单、URL参数，还是API请求体，都可能包含恶意代码或不符合预期的格式，这直接关系到应用程序的安全性和数据的完整性。所以，验证输入就是对这些外部数据进行一系列检查和清洗，确保它们符合我们预设的规则和安全标准。</p><p>解决方案</p><p>处理PHP输入验证，说实话，这活儿真没法偷懒，而且也绝不是一次性的。它是一个多层次、持续性的过程。从最基础的类型检查到复杂的业务逻辑校验，每一步都得小心翼翼。</p><p>首先，一个基本的原则是“永不信任用户输入”。这听起来有点偏执，但在网络安全领域，这简直是金科玉律。这意味着任何从浏览器、API客户端或任何外部源进入系统的数据，都必须被视为潜在的威胁，直到它通过了严格的验证和清理。</p><p><span>立即学习</span>“<a href=”https://pan.quark.cn/s/7fc7563c4182″ style=”text-decoration: underline !important; color: blue; font-weight: bolder;” rel=”nofollow” target=”_blank”>PHP免费学习笔记（深入）</a>”；</p><p>具体操作上，我们通常会区分“验证”（Validation）和“过滤/清理”（Sanitization）。验证是检查数据是否符合预期的格式、类型和范围，比如一个邮箱地址是不是真的像个邮箱地址，一个年龄是不是一个合理的数字。如果数据不符合，就应该拒绝它。而过滤，则是移除或转义数据中的潜在有害字符，比如把HTML标签转义掉，防止XSS攻击，或者从字符串中去除不必要的空格。</p><p>PHP提供了一些非常实用的内置函数来帮助我们完成这些任务，尤其是<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var()</pre>

</div>和<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_input()</pre>

</div>系列。它们能够处理很多常见的验证和清理场景，比如验证邮箱、URL，或者清理字符串中的特殊字符。但光有这些还不够，很多时候，我们还需要结合正则表达式（<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>preg_match()</pre>

</div>）进行更精细的模式匹配，或者编写自定义的验证逻辑来满足特定的业务需求。</p><p>更深一层，对于数据库操作，预处理语句（Prepared Statements）是防止SQL注入的基石，它将查询逻辑和数据分离，确保数据不会被解释为代码。同时，针对跨站请求伪造（CSRF），使用CSRF令牌也至关重要，它能确保请求确实来自我们自己的网站。</p><p>说到底，验证输入不是一个单一的技术点，而是一整套安全策略的体现。它需要开发者在编码时就保持高度的警惕性，并将其融入到整个开发流程中。</p><h3>PHP输入验证的核心原则有哪些？</h3><p>聊到PHP输入验证，很多人可能首先想到的是各种函数和技术，但我觉得，更重要的其实是背后的那些核心原则。这些原则就像是我们的指南针，指引着我们如何在复杂的场景中做出正确的判断。</p><p>我个人总结的，最重要的几点是：</p><ol><li><strong>“永不信任用户输入”：</strong> 这句话我可能要强调一百遍。无论你的<a style=”color:#f60; text-decoration:underline;” title=”前端” href=”https://www.php.cn/zt/15813.html” target=”_blank”>前端</a>做了多严格的校验，或者用户看起来多么“无害”，服务器端都必须进行独立的、全面的验证。前端校验只是为了用户体验，服务器端校验才是为了安全。你永远不知道攻击者会用什么工具绕过你的前端。</li><li><strong>区分验证（Validation）与过滤（Sanitization）：</strong> 这俩虽然经常一起出现，但目的不同。验证是判断数据“是否正确”，不正确就拒绝。过滤是让数据“变得无害”，即使它不完全符合预期，至少也不会造成安全问题。比如，验证一个电话号码是否是11位数字，而过滤则是把用户输入中的HTML标签转义。</li><li><strong>“白名单”优于“黑名单”：</strong> 这是一个非常重要的安全思想。白名单是指只允许已知、明确安全的数据通过，其他一切都拒绝。黑名单则是尝试阻止已知的不安全数据，但问题在于，你永远不知道所有的攻击手段。比如，允许用户输入A-Z、a-z、0-9和一些特定符号，比尝试过滤掉所有可能的恶意脚本要安全得多。</li><li><strong>在最早的环节进行验证：</strong> 数据一旦进入你的应用程序，就应该尽快进行验证。越晚验证，数据被恶意利用的机会就越大。理想情况下，在数据被应用程序的任何核心逻辑处理之前，就应该完成验证。</li><li><strong>提供清晰的错误反馈：</strong> 如果验证失败，用户需要知道哪里出了问题。清晰、具体的错误信息不仅能改善用户体验，也能帮助开发者调试。但注意，错误信息不要泄露过多系统内部信息。</li><li><strong>考虑所有潜在的攻击面：</strong> 不仅仅是表单提交，URL参数（GET请求）、HTTP头、文件上传，甚至Cookie，都可能是攻击者注入恶意数据的入口。每个数据来源都需要被纳入验证的范畴。</li></ol><p>这些原则，我觉得比记住任何一个具体的函数都更重要。它们提供了一个思维框架，让我们在面对各种输入时，能够系统性地思考如何保护应用程序。</p><h3>如何使用PHP内置的过滤函数进行高效验证和清理？</h3><p>PHP内置的过滤函数，也就是<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var()</pre>

</div>和<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_input()</pre>

</div>系列，简直是我的救星。它们提供了一种相当简洁、高效的方式来处理常见的输入验证和清理任务，省去了我们写大量正则表达式的麻烦。</p><p>先说说<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var()</pre>

</div>。这个函数用于验证或清理一个独立的变量。它的基本用法是：<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var($variable, $filter, $options)</pre>

</div>。</p> <div class=”aritcle_card”> <a class=”aritcle_card_img” href=”/ai/1805″> <img src=”https://img.php.cn/upload/ai_manual/000/000/000/175680370210241.jpg” alt=”知元AI”> </a> <div class=”aritcle_card_info”> <a href=”/ai/1805″>知元AI</a> <p>AI智能语音聊天 对讲问答 AI绘画 AI写作 AI创作助手工具</p> <div class=””> <img src=”/static/images/card_xiazai.png” alt=”知元AI”> <span>70</span> </div> </div> <a href=”/ai/1805″ class=”aritcle_card_btn”> <span>查看详情</span> <img src=”/static/images/cardxiayige-3.png” alt=”知元AI”> </a> </div> <p>举个例子：</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?php$email = "test@example.com";if (filter_var($email, FILTER_VALIDATE_EMAIL)) { echo "邮箱地址有效。\n";} else { echo "邮箱地址无效。\n";}$url = "http://www.example.com";if (filter_var($url, FILTER_VALIDATE_URL)) { echo "URL有效。\n";} else { echo "URL无效。\n";}$unsafe_string = "<script>alert(‘XSS’);</script>Hello World!";$safe_string = filter_var($unsafe_string, FILTER_SANITIZE_STRING); // 注意：FILTER_SANITIZE_STRING 在 PHP 8.1 弃用，建议使用 htmlspecialcharsecho "清理后的字符串: " . htmlspecialchars($unsafe_string, ENT_QUOTES, ‘UTF-8’) . "\n"; // 更推荐的方式$ip_address = "192.168.1.1";if (filter_var($ip_address, FILTER_VALIDATE_IP)) { echo "IP地址有效。\n";} else { echo "IP地址无效。\n";}$integer_value = "123";if (filter_var($integer_value, FILTER_VALIDATE_INT)) { echo "是整数。\n";} else { echo "不是整数。\n";}?></pre>

</div><p>这里面，<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_VALIDATE_EMAIL</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_VALIDATE_URL</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_VALIDATE_IP</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_VALIDATE_INT</pre>

</div> 都是验证过滤器，它们会返回原始数据（如果有效）或<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>false</pre>

</div>（如果无效）。而<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_SANITIZE_STRING</pre>

</div>（以及更推荐的<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>htmlspecialchars</pre>

</div>）则是清理过滤器，它会返回清理后的数据。</p><p>然后是<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_input()</pre>

</div>。这个函数更直接，它直接从外部变量（如<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$_GET</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$_POST</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$_COOKIE</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$_SERVER</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$_ENV</pre>

</div>）中获取数据并进行过滤，这比先获取到变量再用<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var()</pre>

</div>要更安全，因为它能更好地处理一些边缘情况。</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?php// 假设用户提交了表单，其中包含 email 字段// <form method="post">// <input type="text" name="user_email">// <input type="text" name="age">// <button type="submit">提交</button>// </form>$user_email = filter_input(INPUT_POST, ‘user_email’, FILTER_VALIDATE_EMAIL);if ($user_email) { echo "用户邮箱: " . $user_email . "\n";} else { echo "邮箱地址无效或未提交。\n";}$age = filter_input(INPUT_POST, ‘age’, FILTER_VALIDATE_INT, array("options" => array("min_range" => 1, "max_range" => 120)));if ($age !== false && $age !== null) { // filter_input 失败返回 null，验证失败返回 false echo "用户年龄: " . $age . "\n";} else { echo "年龄无效或未提交 (需为1到120之间的整数)。\n";}// 获取并清理 URL 参数$search_query = filter_input(INPUT_GET, ‘q’, FILTER_SANITIZE_FULL_SPECIAL_CHARS);if ($search_query) { echo "搜索查询: " . $search_query . "\n";} else { echo "没有搜索查询。\n";}?></pre>

</div><p>在<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_input()</pre>

</div>和<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>filter_var()</pre>

</div>中，<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>$options</pre>

</div>参数非常强大，可以用来设置过滤器的行为。比如，<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_VALIDATE_INT</pre>

</div>可以配合<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>min_range</pre>

</div>和<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>max_range</pre>

</div>选项来限制整数的范围。<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_SANITIZE_FULL_SPECIAL_CHARS</pre>

</div>则可以用来转义HTML特殊字符，这对于防止XSS非常有用。</p><p>虽然<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>FILTER_SANITIZE_STRING</pre>

</div>在PHP 8.1被弃用了，因为它在处理多字节字符时可能不够完善，但<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>htmlspecialchars()</pre>

</div>仍然是一个非常强大且推荐的替代方案，尤其是在将用户输入输出到HTML页面时。</p><p>这些内置函数，用好了能大大提高我们代码的安全性和可维护性。它们就像是PHP给我们准备的一套“安全工具箱”，很多常见的问题都能用它们快速搞定。</p><h3>除了内置函数，PHP中还有哪些验证输入的高级策略和最佳实践？</h3><p>光靠PHP内置的过滤函数，虽然能解决不少问题，但对于更复杂、更业务化的场景，我们还需要一些“高级玩法”和更全面的策略。这就像是，你有了锤子，但有时候你还需要螺丝刀和电钻。</p><ol><li><p><strong>正则表达式（Regular Expressions）：精准匹配的利器</strong>当内置过滤器无法满足特定格式要求时，正则表达式就派上用场了。比如，验证一个特定的产品序列号格式（可能包含字母、数字和连字符），或者一个复杂的电话号码格式。<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>preg_match()</pre>

</div>是PHP中处理正则表达式的核心函数。</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?php$product_code = "ABC-123-XYZ";if (preg_match(‘/^[A-Z]{3}-\d{3}-[A-Z]{3}$/’, $product_code)) { echo "产品代码格式正确。\n";} else { echo "产品代码格式不正确。\n";}?></pre>

</div><p>用正则时要特别小心，一个不严谨的正则可能会引入安全漏洞（比如ReDoS攻击），或者匹配到意料之外的内容。所以，编写和测试正则表达式需要投入足够的精力。</p></li><li><p><strong>自定义验证函数或验证类：业务逻辑的守护者</strong>很多时候，验证不仅仅是格式问题，更是业务逻辑问题。比如，验证用户提交的用户名是否已存在，或者验证一个订单金额是否大于零且小于某个最大值。这种情况下，我们可以编写自己的验证函数，甚至构建一个专门的<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>Validator</pre>

</div>类。一个简单的自定义验证函数：</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?phpfunction isValidUsername($username) { // 假设用户名必须是字母数字，长度在3到20之间，且不能是保留词 if (!preg_match(‘/^[a-zA-Z0-9]{3,20}$/’, $username)) { return false; } // 模拟检查数据库中是否已存在 $reserved_names = [‘admin’, ‘root’, ‘guest’]; if (in_array(strtolower($username), $reserved_names)) { return false; } // 实际应用中会查询数据库 return true;}$user_input = "john_doe";if (isValidUsername($user_input)) { echo "用户名有效。\n";} else { echo "用户名无效。\n";}?></pre>

</div><p>对于大型应用，构建一个<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>Validator</pre>

</div>类，将各种验证规则封装起来，可以实现更好的可重用性和可维护性。</p></li><li><p><strong>ORM/框架的验证层：现代化开发的标配</strong>如果你在使用像Laravel、Symfony这样的PHP框架，那么它们通常会提供非常强大且易用的验证层。这些框架的验证器通常支持链式调用、自定义规则、错误消息国际化等高级功能，大大简化了验证代码的编写。例如，在Laravel中：</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’>// 伪代码，展示框架验证思路$request->validate([ ‘name’ => ‘required|string|max:255′, ’email’ => ‘required|email|unique:users,email’, ‘password’ => ‘required|min:8|confirmed’,]);</pre>

</div><p>使用框架的验证层，不仅能提高开发效率，还能确保验证逻辑的一致性和安全性。</p></li><li><p><strong>预处理语句（Prepared Statements）：数据库安全的基石</strong>这虽然不是直接的“输入验证”，但它是防止SQL注入攻击的<strong>核心</strong>。任何与数据库交互的输入，都必须通过预处理语句来绑定参数，而不是直接拼接到SQL查询字符串中。无论是使用PDO还是MySQLi，都强烈推荐使用预处理语句。</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?php// 伪代码，PDO示例$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");$stmt->bindParam(‘:username’, $username);$stmt->bindParam(‘:password’, $hashed_password);$stmt->execute();$user = $stmt->fetch();?></pre>

</div></li><li><p><strong>CSRF令牌（Cross-Site Request Forgery Tokens）：防御跨站请求伪造</strong>对于所有会修改服务器状态的表单（POST请求），都应该加入CSRF令牌。这是一个随机生成的值，存储在用户的会话中，并嵌入到表单中。当表单提交时，服务器会验证提交的令牌是否与会话中的令牌匹配。如果不匹配，就拒绝请求。这能有效防止攻击者诱骗用户在不知情的情况下执行恶意操作。</p></li><li><p><strong>输出转义：防止XSS的最后一道防线</strong>虽然我们强调“输入验证”，但防止XSS（跨站脚本攻击）的最终防线是<strong>输出转义</strong>。任何用户生成的内容在显示到HTML页面之前，都必须进行适当的转义。<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>htmlspecialchars()</pre>

</div>是你的好朋友，它会将HTML特殊字符（如<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”><</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>></pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>&</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>”</pre>

</div>、<div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=”brush:php;toolbar:false;”>'</pre>

</div>）转换为它们的HTML实体。</p><div class=”code” style=”position:relative; padding:0px; margin:0px;”><pre class=’brush:php;toolbar:false;’><?php$user_comment = “<script>alert(‘Hello’);</script>Nice!”;echo “<div>” . htmlspecialchars($user_comment, ENT_QUOTES, ‘UTF-8’) . “</div>”;// 输出：<div>alert('Hello');Nice!</div>?></pre>

</div><p>对于输出到JavaScript、URL或CSS上下文的内容，可能需要使用不同的转义函数。</p></li></ol><p>综合来看，一个健壮的PHP应用程序，其输入验证策略是多层次、多维度的。它不仅仅是调用几个函数那么简单，更是一种深入到架构和编码习惯中的安全意识。</p>

以上就是PHP代码怎么验证输入_ PHP输入验证规则与过滤函数详解的详细内容，更多请关注php中文网其它相关文章！