文档
Welcome! 安装(Installation) 示例列表(List of examples) 依赖注入与服务定位器(Dependency Injection/Service Location) MVC 架构(The MVC Architecture) 使用控制器(Using Controllers) 使用模型(Working with Models) 模型元数据(Models Meta-Data) 事务管理(Model Transactions) Phalcon 查询语言(Phalcon Query Language (PHQL)) 缓存对象关系映射(Caching in the ORM) 对象文档映射 ODM (Object-Document Mapper) 使用视图(Using Views) 视图助手(View Helpers) 资源文件管理(Assets Management) Volt 模版引擎(Volt: Template Engine) MVC 应用(MVC Applications) 路由(Routing) 调度控制器(Dispatching Controllers) 微应用(Micro Applications) 使用命名空间(Working with Namespaces) 事件管理器(Events Manager) 请求环境 (Request Environment) 返回响应(Returning Responses) Cookie 管理(Cookies Management) 生成 URL 和 路径(Generating URLs and Paths) 闪存消息(Flashing Messages) 使用 Session 存储数据(Storing data in Session) 过滤与清理(Filtering and Sanitizing) 上下文编码(Contextual Escaping) 验证(Validation) 表单(Forms) 读取配置(Reading Configurations) 分页(Pagination) 使用缓存提高性能(Improving Performance with Cache) 安全(Security) 加密/解密( Encryption/Decryption ) 访问控制列表 ACL(Access Control Lists ACL) 多语言支持(Multi-lingual Support) 通用类加载器 ( Universal Class Loader ) 日志记录(Logging) 注释解析器(Annotations Parser) 命令行应用(Command Line Applications) 队列(Queueing) 数据库抽象层(Database Abstraction Layer) 国际化(Internationalization) 数据库迁移(Database Migrations) 调试应用程序(Debugging Applications) Phalcon 开发工具(Phalcon Developer Tools) 提高性能:下一步该做什么?(Increasing Performance: What's next?) 单元测试(Unit testing) 授权(License)
教程

发布于 2015-08-21 15:16:25 | 280 次阅读 | 评论: 0 | 来源: 网络整理

过滤与清理(Filtering and Sanitizing)

清理用户输入是软件开发中很重要的一个环节。信任或者忽略对用户输入数据作清理可能会导致 对应用内容(主要是用户数据),甚至你应用所处在的服务器的非法访问。

../_images/sql.png

Full image (from xkcd)

PhalconFilter 组件提供了一系列通用可用的过滤器和数据清理助手。它提供了围绕于PHP过滤扩展的面向对象包装。

清理数据(Sanitizing data)

清理是指从一个值中移除特定字符的过程,此过程对用户和应用不是必须,也不是他们想得到的。 通过清理输入,我们确保了应用的完整性和正确性。

<?php

use PhalconFilter;

$filter = new Filter();

// 返回 "someone@example.com"
$filter->sanitize("some(one)@example.com", "email");

// 返回 "hello"
$filter->sanitize("hello<<", "string");

// 返回 "100019"
$filter->sanitize("!100a019", "int");

// 返回 "100019.01"
$filter->sanitize("!100a019.01a", "float");

在控制器中使用清理(Sanitizing from Controllers)

当接收到GET或POST的数据时(通过请求对象),你可以在控制器中访问一个 PhalconFilter 对象。 第一个参数是等待获得变量的名字,第二个参数是将应用在此变量的过滤器。

<?php

use PhalconMvcController;

class ProductsController extends Controller
{
    public function indexAction()
    {

    }

    public function saveAction()
    {
        // 从输入中清理price
        $price = $this->request->getPost("price", "double");

        // 从输入中清理email
        $email = $this->request->getPost("customerEmail", "email");
    }
}

过滤动作参数(Filtering Action Parameters)

接下来的示例演示了在一个控制器的动作中如何清理动作的参数:

<?php

use PhalconMvcController;

class ProductsController extends Controller
{
    public function indexAction()
    {

    }

    public function showAction($productId)
    {
        $productId = $this->filter->sanitize($productId, "int");
    }
}

过滤数据(Filtering data)

此外, PhalconFilter 也提供了可以进行删除或者修改输入数据以满足我们需要的格式的过滤器。

<?php

use PhalconFilter;

$filter = new Filter();

// 返回 "Hello"
$filter->sanitize("<h1>Hello</h1>", "striptags");

// 返回 "Hello"
$filter->sanitize("  Hello   ", "trim");

内置过滤器类型(Types of Built-in Filters)

以下是该容器提供的内置过滤器:

创建过滤器(Creating your own Filters)

你可以将你自己的过滤器添加到 PhalconFilter 。过滤器的方法可以是匿名函数:

<?php

use PhalconFilter;

$filter = new Filter();

// 使用匿名函数
$filter->add('md5', function ($value) {
    return preg_replace('/[^0-9a-f]/', '', $value);
});

// 利用md5过滤器清理
$filtered = $filter->sanitize($possibleMd5, "md5");

或者,如果你愿意,你可以在类中实现过滤器:

<?php

use PhalconFilter;

class IPv4Filter
{
    public function filter($value)
    {
        return filter_var($value, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4);
    }
}

$filter = new Filter();

// 使用对象
$filter->add('ipv4', new IPv4Filter());

// 利用"ipv4"过滤器清理
$filteredIp = $filter->sanitize("127.0.0.1", "ipv4");

复杂的过滤与清理(Complex Sanitizing and Filtering)

你可以使用PHP本身提供的优秀过滤器扩展。请查看对应的文档: PHP文档上的数据过滤器

自定义过滤器(Implementing your own Filter)

如需创建你自己的过滤器并代替Phalcon提供的过滤器,你需要实现 PhalconFilterInterface 接口。

最新网友评论  共有(0)条评论 发布评论 返回顶部

Copyright © 2007-2017 PHPERZ.COM All Rights Reserved   冀ICP备14009818号  版权声明  广告服务