Input validation with filter functions
Introduction
Although PHP has a lot of filter functions available, I found that still to many people are using (often incorrect) regular expressions to validate user input. The filter extension is simple, standard available and will fulfill the common validations. Below some pratical examples and things to consider when working with PHP filter functions.
Which are available?
Below a shameless copy paste of the PHP documentation.
- filter_has_var — Checks if variable of specified type exists
- filter_id — Returns the filter ID belonging to a named filter
- filter_input_array — Gets external variables and optionally filters them
- filter_input — Gets a specific external variable by name and optionally filters it
- filter_list — Returns a list of all supported filters
- filter_var_array — Gets multiple variables and optionally filters them
- filter_var — Filters a variable with a specified filter
Pratical use
Sanitizing
“Filter input escape output” every developer knows this but it is a repetitive job but with the filter extension filterering input became a lot easier. When you correctly filter input you drastically lower the change of application vulnerabilities.
Sanitizing a single variable
$sText = ' ';
$sText = filter_var($sText, FILTER_SANITIZE_STRING);
echo $sText; // This is a comment from a alert("scriptkiddie");
Sanitizing multiple variables, same principle as above but with an array, the filter will sanitize all values inside the array
filter_var_array($_POST, FILTER_SANITIZE_STRING);
Validating an email address
if(filter_var($sEmail, FILTER_VALIDATE_EMAIL) === false) {
$this->addError('Invalid email address', $sEmail);
}
Validation a complete array
Validating all your data at once with a single filter will make your code clear, all in one place and is more easy to maintain an example below.
$aData = array(
'student' => 'Sjoerd Maessen',
'class' => '21',
'grades' => array(
'math' => 9,
'geography' => 66,
'gymnastics' => 7.5
)
);
$aValidation = array(
'student' => FILTER_SANITIZE_STRING,
'class' => FILTER_VALIDATE_INT,
'grades' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options'=> array('min_range'=>0, 'max_range'=>10))
);
echo '';
var_dump(filter_var_array($aData, $aValidation));
/*array(3) {
["student"]=>
string(14) "Sjoerd Maessen"
["class"]=>
int(21) // Thats strange, my string is converted
["grades"]=>
array(3) {
["math"]=>
int(9)
["geography"]=>
bool(false) // 66 is > 10
["gymnastics"]=>
bool(false) // 7.5 is not an int
}
}*/
Note: okay I did not expect that the string '21' would validate true against FILTER_VALIDATE_INT, after some more testing I also noticed that min_range and max_range only work with FILTER_VALIDATE_INT, when using floats or scalars the options are just ignored, so be aware!
The sanitizing examples above can be made easily more restrictive by adding flags like FILTER_FLAG_STRIP_LOW to the sanitize filter, FILTER_FLAG_STRIP_LOW will for example strip all characters that have a numerical value below 32.
Things to consider
Although the filter functions are some time available some of them aren't flawless, at some points the documentation is missing or very unclear. Another example is the filter_var validation for IPv6 addresses. (see bug report #50117). So it is always a good thing to check if the filter is really doing what you expect it does. Write testcases before using. If you use it correctly you can write your validations in the blink of an eye, and this extension will be your new best friend.
Links
Filter functions
Filter flags
Sildenafil 100mg price: Buy sildenafil – Sildenafil 100mg
MartinJaive
2 Oct 25 at 12:11 pm
как лечить приступы тревоги Как лечить приступы тревоги — это важный вопрос для тех, кто испытывает внезапные и интенсивные эпизоды тревоги, которые могут сопровождаться физическими симптомами, такими как учащенное сердцебиение, потливость, дрожь и затрудненное дыхание. Существуют как медикаментозные, так и немедикаментозные методы лечения приступов тревоги. В острой ситуации могут быть использованы анксиолитики, такие как бензодиазепины, которые быстро снижают уровень тревоги и помогают справиться с симптомами. Однако их применение должно быть ограничено из-за риска развития зависимости и других побочных эффектов. Для долгосрочного лечения и профилактики приступов тревоги часто назначаются антидепрессанты, такие как селективные ингибиторы обратного захвата серотонина (СИОЗС) и селективные ингибиторы обратного захвата серотонина и норадреналина (СИОЗСН). Психотерапия, особенно когнитивно-поведенческая терапия (КПТ), играет важную роль в лечении приступов тревоги. КПТ помогает пациентам выявлять и изменять негативные мыслительные шаблоны и развивать навыки преодоления тревоги. Техники релаксации, такие как глубокое дыхание, медитация и прогрессивная мышечная релаксация, также могут быть полезны для снижения уровня тревоги и предотвращения приступов. Важно помнить, что лечение приступов тревоги должно быть индивидуальным и разрабатываться совместно с врачом или психотерапевтом.
DavidPycle
2 Oct 25 at 3:08 pm
радиаторы tubog Батареи Rifar Tubog – это отопительные приборы, которые сочетают в себе современный дизайн и высокую эффективность. Они представляют собой трубчатые радиаторы, состоящие из вертикальных или горизонтальных секций, соединенных между собой. Батареи Rifar Tubog изготавливаются из высококачественной стали и проходят строгий контроль качества на всех этапах производства. Благодаря своей конструкции, они обеспечивают равномерное распределение тепла в помещении и быстро нагреваются. Батареи Rifar Tubog доступны в различных моделях, отличающихся количеством секций, высотой и глубиной, что позволяет подобрать оптимальный вариант для любого помещения. Они могут быть использованы как в жилых, так и в коммерческих помещениях и подходят для различных систем отопления.
RobertDaw
2 Oct 25 at 3:41 pm
where to buy tadalafil in usa [url=http://tadalmedspharmacy.com/#]Buy Tadalafil online[/url] tadalafil
TimothyArrar
2 Oct 25 at 3:43 pm
Smart crypto trading https://terionbot.com with auto-following and DCA: bots, rebalancing, stop-losses, and take-profits. Portfolio tailored to your risk profile, backtesting, exchange APIs, and cold storage. Transparent analytics and notifications.
terionbot-128
2 Oct 25 at 3:44 pm
https://medicexpressmx.shop/# Online Mexican pharmacy
Williamjib
2 Oct 25 at 6:01 pm
кайт школа Кайт: Кайт, в контексте водных видов спорта, – это не просто воздушный змей. Это сложная конструкция, разработанная для создания тяги, позволяющей человеку двигаться по воде, снегу или земле. Современные кайты, используемые в кайтсерфинге, представляют собой надувные конструкции, которые обеспечивают отличную управляемость, стабильность и безопасность. Существуют различные типы кайтов, каждый из которых предназначен для определенных условий и стилей катания. Выбор кайта зависит от уровня подготовки кайтсерфера, силы ветра и типа местности. Кайт требует правильной настройки и обслуживания, чтобы обеспечить оптимальную производительность и продлить срок его службы. Кайт – это сердце кайтсерфинга, инструмент, позволяющий ощутить невероятную свободу и адреналин, скользя по волнам с помощью силы ветра.
Kevinnek
2 Oct 25 at 7:20 pm
Buy Tadalafil 20mg: Generic tadalafil 20mg price – Generic Cialis without a doctor prescription
BruceMaivy
2 Oct 25 at 7:31 pm
Je suis titille par MrPacho Casino, c’est un festin ou chaque tour deploie des parfums de victoire. Les plats forment un tableau de textures innovantes, integrant des live roulettes pour des tourbillons de suspense. Les hotes interviennent avec une delicatesse remarquable, distillant des remedes clairs et prompts. Les flux monetaires sont blindes par des epices crypto, bien qu’ des amuse-bouches gratuits supplementaires rehausseraient les plats. Pour couronner le plat, MrPacho Casino emerge comme un pilier pour les epicuriens pour les maitres des paris crypto ! A souligner le portail est une salle a manger visuelle imprenable, allege la traversee des menus ludiques.
bonus mrpacho|
ThunderQuillJ5zef
2 Oct 25 at 10:02 pm
Mexican pharmacy price list: Online Mexican pharmacy – MedicExpress MX
MartinJaive
2 Oct 25 at 10:04 pm
Je suis enrobe par SlotsPalace Casino, c’est un domaine ou chaque mise eleve un trone de gloire. La collection est un decret de divertissements imperiaux, offrant des cashbacks VIP et free spins des seigneurs comme Evolution et Pragmatic Play. Le support client est un chambellan vigilant et perpetuel, mobilisant des allegeances multiples pour une audience immediate. Les transferts paradent stables et acceleres, toutefois des corteges promotionnels plus frequents dynamiseraient l’empire. Pour clore le trone, SlotsPalace Casino sculpte une lignee de jeu grandiose pour les gardiens des chateaux numeriques ! Par surcroit le portail est une porte visuelle imprenable, incite a prolonger la dynastie infinie.
best slots at caesars palace|
VelvetCrownS1zef
2 Oct 25 at 10:20 pm
https://medicexpressmx.com/# Online Mexican pharmacy
Anthonynounk
2 Oct 25 at 11:15 pm
Je suis propulse par Super Casino, ca galvanise un arsenal de missions exaltantes. Le QG est un centre de diversite explosive, incluant des blackjacks pour des parades defensives. L’assistance deploie des tactiques affutees, assurant une protection fidele dans la zone. Les flux sont blindes par des boucliers crypto, occasionnellement davantage de boosts bonus quotidiens survoltent le bastion. En apotheose heroique, Super Casino invite a une patrouille sans repli pour les champions de victoires explosives ! En cape supplementaire l’interface est un cockpit navigable avec precision, ce qui catapulte chaque mission a un niveau legendaire.
super casino carburant|
ZephyrQuestG9zef
2 Oct 25 at 11:15 pm
Generic Cialis without a doctor prescription [url=https://tadalmedspharmacy.shop/#]Buy Tadalafil 20mg[/url] Generic tadalafil 20mg price
TimothyArrar
3 Oct 25 at 1:37 am
лечение тревожных расстройств в Москве Лечение тревожности — это процесс, направленный на уменьшение чувства беспокойства, напряжения и страха, которые могут мешать повседневной жизни. Подходы к лечению тревожности включают как психотерапевтические методы, так и медикаментозное лечение. Психотерапия, особенно когнитивно-поведенческая терапия (КПТ), является эффективным способом научиться управлять тревожными мыслями и поведением. КПТ помогает пациентам идентифицировать и изменять негативные мыслительные паттерны, а также развивать навыки преодоления тревоги. Медикаментозное лечение может включать применение антидепрессантов (например, СИОЗС, СИОЗСН) или анксиолитиков, которые помогают регулировать химический баланс в мозге и снижать симптомы тревожности. Важно отметить, что медикаменты должны приниматься только по назначению и под контролем врача. Кроме того, полезными могут быть техники релаксации, такие как медитация, глубокое дыхание и прогрессивная мышечная релаксация. Важную роль играет здоровый образ жизни, включающий регулярные физические упражнения, сбалансированное питание, достаточный сон и ограничение употребления кофеина и алкоголя. Поддержка со стороны семьи и друзей также может быть полезной в процессе лечения тревожности. Индивидуальный план лечения, разработанный совместно с врачом или психотерапевтом, может значительно улучшить качество жизни человека, страдающего от тревожности.
DavidPycle
3 Oct 25 at 2:35 am