我有一个函数,它将filter_input 的过滤器常量作为可选参数。是否有可能确保字符串的值是一个有效的 PHP 过滤器常量,也许使用内置的 PHP 函数?
我知道一种方法是制作我自己的所有过滤器常量数组并对其进行检查,但我希望有一种更简单或更好的方法。
【问题讨论】:
defined(),但您正在寻找的是某种白名单。
filter_list() 和 filter_id()
标签: php constants sanitization filter-input
您可以根据过滤器列表进行验证:
$valid = in_array($filter, filter_list(), true);
其中$filter 包含用户提供的过滤器值,$valid 将结果作为布尔值(true 如果有效,false 如果无效)。
更多详情请参阅 PHP 手册中的filter_list()。
【讨论】:
filter_list() 很高兴知道并没有出现在我的谷歌搜索中。
filter_list() 相比,它并不适合您的情况。
我能够通过使用 get_defined_constants() PHP 内置函数来实现这一点,该函数列出了所有预定义的 PHP 常量。
解决方案:
下面的代码会将所有允许的过滤器存储到一个数组中,并允许您通过 check_filter() 函数检查任何过滤器的有效性。
<?php
$constants = get_defined_constants();
$allowed_filters = array();
foreach ($constants as $c => $val)
if (substr($c, 0, 7) == 'FILTER_')
$allowed_filters[$c] = 1;
function check_filter($filter_name, $allowed_filters) { return isset($allowed_filters[$filter_name]); }
var_dump(check_filter('FILTER_SANITIZE_EMAIL', $allowed_filters)); // true
var_dump(check_filter('FILTER_TEST', $allowed_filters)); // false
var_dump(check_filter('PHP_VERSION', $allowed_filters)); // false, even though constant exists
我希望这会有所帮助!
【讨论】:
FILTER_ 前缀也可以使用标志,请参阅 3v4l.org/r7gSm