Фильтрация ввода в PHP встроенными функциями
Функции фильтрации PHP, скорее всего, не являются будоражащим сознание артефактом, но они помогают улучшить стабильность, безопасность и внутреннюю структуру кода, если ими правильно пользоваться.
В данном уроке мы разберемся, почему проверка ввода имеет важное значение и зачем использовать встроенные функции PHP для выполнения тестов. А затем рассмотрим несколько примеров и обсудим их потенциальные недостатки.
Почему проверка ввода имеет важное значение
Проверка ввода является одним из важных пунктов обеспечения безопасности кода, так как ввод является той частью приложения, которая не подчиняется непосредственному контролю со стороны разработчика. А раз нельзя контролировать, значить нельзя и доверять.
К сожалению, разработчики часто пишут код опираясь только на свои представления о том, как он будет работать. В картину не включается то, как кто-то будет использовать приложение опираясь на любопытство, разгильдяйство или злой умысел. Поэтому проверка ввода является первой ступенью к тому, чтобы ваш код выполнялся так, как задумывалось разработчиком.
Если вы перешли к использованию PHP от другого языка программирования, то у вас вполне могут возникнуть рассуждения: "Зачем заботиться о проверке ввода пользователя?" Но PHP является языком программирования с достаточно свободным синтаксисом. Такое положение делает его отличным инструментом. Но платой за великолепные возможности является трудность контроля данных, потому что практически все можно преобразовать одно в другое.
Почему важно использовать встроенные методы
Для упрощения проверки данных начиная с версии PHP 5.2.0 можно использовать функции filter_input()
и filter_var()
.
Если вы будете использовать свои методы проверки, то потенциально есть вероятность попасть в ловушку при разработке остального функционала приложения: вы будете размышлять о граничных случаях, и есть вероятность упустить другие векторы, которые могут маскировать неправильный ввод. Кроме того, при поддержке кода собственные методы потребуют отдельного изучения, так как нужно будет разобраться в реализованных правилах проверки. Поэтому время будет тратиться на изучения внутренней документации и кода, а не на разработку приложения.
Некоторые разработчики полагаются на решения третьей стороны. Например, для проверки можно использовать OWASP ESAPI. Такой подход лучше самостоятельного решения, так как сторонний код уже просмотрен и протестирован в нескольких других местах. Но придется тратить время на изучение документации и включать в свой проект код третьей стороны.
Поэтому, использование встроенных функций может оказаться лучшим решением. Они встроены в язык программирования и все описания для них уже находятся в документации PHP. Новые участники проекта наверняка будут иметь опыт использования таких функций. А в результате получится более простая поддержка приложения.
Несколько примеров
Функция filter_input() появилась в PHP 5.2.0 и позволяет получать внешние переменные и фильтровать их. Очень удобная при работе с данными $_GET
и $_POST
.
Рассмотрим пример простой страницы, которая читает переданные значения из URL и обрабатывает их. Нам известно, что значения должны быть целым числом в интервале от 15 до 20.
Можно сделать так:
<?php if (isset($_GET["value"])) { $value = $_GET["value"]; } else { $value = false; } if (is_numeric($value) && ($value >= 15 && $value <= 20)) { // Выполняем обработку данных } else { // Обрабатываем ошибку }
Простой пример, который потребовал достаточно много строк кода.
Во-первых, нужно быть уверенным, что $_GET
установлена. Код выполняет соответствующую проверку, чтобы скрипт мог продолжать работать.
Во-вторых, переменная $value
содержит "грязные” данные, так как получает их непосредственно из значения $_GET
. Нужно выполнить проверку, чтобы можно было использовать $value
без риска обрушить все приложение.
Такую проверку пройдет и число 16, так как функция is_numeric()
выдаст true.
И в завершение нужно добавить немного логики для определения попадания числа в интервал.
Сравните выше приведенный код с таким:
<?php $value = filter_input(INPUT_GET, "value", FILTER_VALIDATE_INT, array("options" => array("min_range" => 15, "max_range" => 20))); if ($value) { // Выполняем обработку данных } else { // Обрабатываем ошибку }
filter_input()
обрабатывает значение $_GET
. Нет нужды беспокоиться о том, чтобы скрипт получил корректное значение.
Также выполняется проверка $value
перед использованием.
Логика приложения сократилась. Нужно только проверить истинность возвращаемого значения (filter_input()
возвращает false, если проверка не прошла, или $_GET["value"]
не установлена).
Удобная функция для использования в простых скриптах, чтобы получать данные из $_GET
или $_POST
, но как быть с классами или функциями? Для таких задач есть функция filter_var().
Функция filter_var()
была введена одновременно вместе с функцией filter_input()
и имеет такой же функционал.
<?php // Пример простой функции. Не используйте ее для отправки писем! function emailUser($email) { mail($email, "Письмо", "Содержание"); }
Опасность здесь заключается в том, что ничто не останавливает функцию mail()
перед отправкой письма по любому значению, которое хранится в переменной $email
. При таких попытках произойти может все, что угодно по самому плохому сценарию.
Гораздо более безопасный вариант:
<?php // Простая функция. Не нужно использвоать ее для отправки писем в реальных приложениях! function emailUser($email) { $email = filter_var($email, FILTER_VALIDATE_EMAIL); if ($email !== false) { mail($email, "Письмо", "Содержание"); } else { // Обработка ошибки адреса } }
Глядя на выше приведенные примеры, можно решить, что filter_var()
или filter_input()
используются только для простых проверок. Но в арсенале данных функций есть фильтр FILTER_CALLBACK
.
FILTER_CALLBACK
позволяет передавать переменные ввода в функции, которые будут выполнять фильтрацию по любой логике. Такой подход открывает неограниченные возможности для использования функций фильтрации.
Некоторые потенциальные недостатки
Данные функции являются отличным инструментом, позволяющим реализовать мощную фильтрацию данных. Но у них есть недостатки, на которых нужно акцентировать внимание.
Основной недостаток заключается в том, что функции работают в очень сильной зависимости от фильтров, которые используются для них. Посмотрим на последний пример - фильтр FILTER_VALIDATE_EMAIL
изменялся при переходе от версии 5.2.14 к 5.3.3, и есть email адреса, которые являются технически корректными для фильтра, но ущербными для использования. поэтому надо хорошо представлять себе принцип работы исопользуемого фильтра.
Второй недостаток заключается в том, что использование фильтров создает иллюзию безопасности кода. Фильтрация переменных помогает существенно улучшить приложение, но не дает 100% гарантии от неприятностей.
Источник: http://feedproxy.google.com/~r/ruseller/CdHX/~3/ymGZHR3XQoI/lessons.php
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
Кто мало хочет, тот дешево стоит |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.