Фильтрация ввода в PHP встроенными функциями
Функции фильтрации PHP, скорее всего, не являются будоражащим сознание артефактом, но они помогают улучшить стабильность, безопасность и внутреннюю структуру кода, если ими правильно пользоваться.
В данном уроке мы разберемся, почему проверка ввода имеет важное значение и зачем использовать встроенные функции PHP для выполнения тестов. А затем рассмотрим несколько примеров и обсудим их потенциальные недостатки.
Почему проверка ввода имеет важное значение
Проверка ввода является одним из важных пунктов обеспечения безопасности кода, так как ввод является той частью приложения, которая не подчиняется непосредственному контролю со стороны разработчика. А раз нельзя контролировать, значить нельзя и доверять.
К сожалению, разработчики часто пишут код опираясь только на свои представления о том, как он будет работать. В картину не включается то, как кто-то будет использовать приложение опираясь на любопытство, разгильдяйство или злой умысел. Поэтому проверка ввода является первой ступенью к тому, чтобы ваш код выполнялся так, как задумывалось разработчиком.
Если вы перешли к использованию PHP от другого языка программирования, то у вас вполне могут возникнуть рассуждения: "Зачем заботиться о проверке ввода пользователя?" Но PHP является языком программирования с достаточно свободным синтаксисом. Такое положение делает его отличным инструментом. Но платой за великолепные возможности является трудность контроля данных, потому что практически все можно преобразовать одно в другое.
Почему важно использовать встроенные методы
Для упрощения проверки данных начиная с версии PHP 5.2.0 можно использовать функции filter_input()
и filter_var()
.
Если вы будете использовать свои методы проверки, то потенциально есть вероятность попасть в ловушку при разработке остального функционала приложения: вы будете размышлять о граничных случаях, и есть вероятность упустить другие векторы, которые могут маскировать неправильный ввод. Кроме того, при поддержке кода собственные методы потребуют отдельного изучения, так как нужно будет разобраться в реализованных правилах проверки. Поэтому время будет тратиться на изучения внутренней документации и кода, а не на разработку приложения.
Некоторые разработчики полагаются на решения третьей стороны. Например, для проверки можно использовать OWASP ESAPI. Такой подход лучше самостоятельного решения, так как сторонний код уже просмотрен и протестирован в нескольких других местах. Но придется тратить время на изучение документации и включать в свой проект код третьей стороны.
Поэтому, использование встроенных функций может оказаться лучшим решением. Они встроены в язык программирования и все описания для них уже находятся в документации PHP. Новые участники проекта наверняка будут иметь опыт использования таких функций. А в результате получится более простая поддержка приложения.
Несколько примеров
Функция filter_input() появилась в PHP 5.2.0 и позволяет получать внешние переменные и фильтровать их. Очень удобная при работе с данными $_GET
и $_POST
.
Рассмотрим пример простой страницы, которая читает переданные значения из URL и обрабатывает их. Нам известно, что значения должны быть целым числом в интервале от 15 до 20.
Можно сделать так:
<?php if (isset($_GET["value"])) { $value = $_GET["value"]; } else { $value = false; } if (is_numeric($value) && ($value >= 15 && $value <= 20)) { // Выполняем обработку данных } else { // Обрабатываем ошибку }
Простой пример, который потребовал достаточно много строк кода.
Во-первых, нужно быть уверенным, что $_GET
установлена. Код выполняет соответствующую проверку, чтобы скрипт мог продолжать работать.
Во-вторых, переменная $value
содержит "грязные” данные, так как получает их непосредственно из значения $_GET
. Нужно выполнить проверку, чтобы можно было использовать $value
без риска обрушить все приложение.
Такую проверку пройдет и число 16, так как функция is_numeric()
выдаст true.
И в завершение нужно добавить немного логики для определения попадания числа в интервал.
Сравните выше приведенный код с таким:
<?php $value = filter_input(INPUT_GET, "value", FILTER_VALIDATE_INT, array("options" => array("min_range" => 15, "max_range" => 20))); if ($value) { // Выполняем обработку данных } else { // Обрабатываем ошибку }
filter_input()
обрабатывает значение $_GET
. Нет нужды беспокоиться о том, чтобы скрипт получил корректное значение.
Также выполняется проверка $value
перед использованием.
Логика приложения сократилась. Нужно только проверить истинность возвращаемого значения (filter_input()
возвращает false, если проверка не прошла, или $_GET["value"]
не установлена).
Удобная функция для использования в простых скриптах, чтобы получать данные из $_GET
или $_POST
, но как быть с классами или функциями? Для таких задач есть функция filter_var().
Функция filter_var()
была введена одновременно вместе с функцией filter_input()
и имеет такой же функционал.
<?php // Пример простой функции. Не используйте ее для отправки писем! function emailUser($email) { mail($email, "Письмо", "Содержание"); }
Опасность здесь заключается в том, что ничто не останавливает функцию mail()
перед отправкой письма по любому значению, которое хранится в переменной $email
. При таких попытках произойти может все, что угодно по самому плохому сценарию.
Гораздо более безопасный вариант:
<?php // Простая функция. Не нужно использвоать ее для отправки писем в реальных приложениях! function emailUser($email) { $email = filter_var($email, FILTER_VALIDATE_EMAIL); if ($email !== false) { mail($email, "Письмо", "Содержание"); } else { // Обработка ошибки адреса } }
Глядя на выше приведенные примеры, можно решить, что filter_var()
или filter_input()
используются только для простых проверок. Но в арсенале данных функций есть фильтр FILTER_CALLBACK
.
FILTER_CALLBACK
позволяет передавать переменные ввода в функции, которые будут выполнять фильтрацию по любой логике. Такой подход открывает неограниченные возможности для использования функций фильтрации.
Некоторые потенциальные недостатки
Данные функции являются отличным инструментом, позволяющим реализовать мощную фильтрацию данных. Но у них есть недостатки, на которых нужно акцентировать внимание.
Основной недостаток заключается в том, что функции работают в очень сильной зависимости от фильтров, которые используются для них. Посмотрим на последний пример - фильтр FILTER_VALIDATE_EMAIL
изменялся при переходе от версии 5.2.14 к 5.3.3, и есть email адреса, которые являются технически корректными для фильтра, но ущербными для использования. поэтому надо хорошо представлять себе принцип работы исопользуемого фильтра.
Второй недостаток заключается в том, что использование фильтров создает иллюзию безопасности кода. Фильтрация переменных помогает существенно улучшить приложение, но не дает 100% гарантии от неприятностей.
Источник: http://feedproxy.google.com/~r/ruseller/CdHX/~3/ymGZHR3XQoI/lessons.php
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
- 2024-05-27 » Подборка сервисов для расшифровки аудио в текст
- 2024-05-27 » PostgreSQL 16. Изоляция транзакций. Часть 2
- 2024-05-06 » Как настраивать конверсионные стратегии: работа над ошибками
- 2024-04-22 » Комментирование кода и генерация документации в PHP
- 2024-04-22 » SEO в России и на Западе: в чем основные отличия
- 2024-04-22 » SEO для международного масштабирования
- 2024-04-22 » Как использовать XML-карты для продвижения сайта
Полезнее знать несколько мудрых правил, которые всегда могли бы служить тебе, чем выучиться многим вещам, для тебя бесполезным Сенека Луций Анней - (1 до н. э. / 1 н. э.- 65 н. э.) - римский государственный деятель, писатель, философ |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.