Sjoerd Maessen blog

Input validation with filter functions

Written by

in

Introduction
Although PHP has a lot of filter functions available, I found that still to many people are using (often incorrect) regular expressions to validate user input. The filter extension is simple, standard available and will fulfill the common validations. Below some pratical examples and things to consider when working with PHP filter functions.

Which are available?
Below a shameless copy paste of the PHP documentation.

  • filter_has_var — Checks if variable of specified type exists
  • filter_id — Returns the filter ID belonging to a named filter
  • filter_input_array — Gets external variables and optionally filters them
  • filter_input — Gets a specific external variable by name and optionally filters it
  • filter_list — Returns a list of all supported filters
  • filter_var_array — Gets multiple variables and optionally filters them
  • filter_var — Filters a variable with a specified filter

Pratical use

Sanitizing
“Filter input escape output” every developer knows this but it is a repetitive job but with the filter extension filterering input became a lot easier. When you correctly filter input you drastically lower the change of application vulnerabilities.

Sanitizing a single variable

$sText = ' ';
$sText = filter_var($sText, FILTER_SANITIZE_STRING);
echo $sText; // This is a comment from a alert("scriptkiddie");

Sanitizing multiple variables, same principle as above but with an array, the filter will sanitize all values inside the array

filter_var_array($_POST, FILTER_SANITIZE_STRING);

Validating an email address

if(filter_var($sEmail, FILTER_VALIDATE_EMAIL) === false) {
     $this->addError('Invalid email address', $sEmail);
}

Validation a complete array
Validating all your data at once with a single filter will make your code clear, all in one place and is more easy to maintain an example below.

$aData = array(
	'student'	=> 'Sjoerd Maessen',
	'class'		=> '21',
	'grades' => array(
			'math' => 9,
			'geography' => 66,
			'gymnastics' => 7.5
	)
);

$aValidation = array(
	'student'	=> FILTER_SANITIZE_STRING,
	'class'		=> FILTER_VALIDATE_INT,
	'grades'	=> array(
				'filter' => FILTER_VALIDATE_INT,
				'flags'	 => FILTER_FORCE_ARRAY,
				'options'=> array('min_range'=>0, 'max_range'=>10))
);

echo '
';
var_dump(filter_var_array($aData, $aValidation));

/*array(3) {
  ["student"]=>
  string(14) "Sjoerd Maessen"
  ["class"]=>
  int(21) // Thats strange, my string is converted
  ["grades"]=>
  array(3) {
    ["math"]=>
    int(9)
    ["geography"]=>
    bool(false) // 66 is > 10
    ["gymnastics"]=>
    bool(false) // 7.5 is not an int
  }
}*/



Note: okay I did not expect that the string '21' would validate true against FILTER_VALIDATE_INT, after some more testing I also noticed that min_range and max_range only work with FILTER_VALIDATE_INT, when using floats or scalars the options are just ignored, so be aware!


The sanitizing examples above can be made easily more restrictive by adding flags like FILTER_FLAG_STRIP_LOW to the sanitize filter, FILTER_FLAG_STRIP_LOW will for example strip all characters that have a numerical value below 32.


Things to consider

Although the filter functions are some time available some of them aren't flawless, at some points the documentation is missing or very unclear. Another example is the filter_var validation for IPv6 addresses. (see bug report #50117). So it is always a good thing to check if the filter is really doing what you expect it does. Write testcases before using. If you use it correctly you can write your validations in the blink of an eye, and this extension will be your new best friend.


Links

Filter functions

Filter flags

Comments

1,177 responses to “Input validation with filter functions”

  1. ZacharyIneks Avatar
    ZacharyIneks

    https://everameds.com/# Generic Tadalafil 20mg price

  2. Kennethbex Avatar
    Kennethbex

    EveraMeds: EveraMeds – Buy Tadalafil 20mg

  3. JavierLof Avatar
    JavierLof

    https://t.me/top_online_kazino/5

  4. mdgt-37 Avatar
    mdgt-37

    Декоративна https://mdgt.top преграда за стая направих сам

  5. Tristanced Avatar
    Tristanced

    fast delivery Kamagra pills fast delivery Kamagra pills kamagra

  6. Charlessep Avatar
    Charlessep

    https://t.me/s/reyting_luchshikh_kazino

  7. Davidbluth Avatar
    Davidbluth

    Buy Tadalafil 5mg: EveraMeds – Cheap Cialis

  8. IsraelAmolo Avatar
    IsraelAmolo

    http://aeromedsrx.com/# buy Viagra over the counter

  9. quantumwaveor5zef Avatar
    quantumwaveor5zef

    Je suis totalement conquis par Coolzino Casino, ca invite a plonger dans le fun. Le choix de jeux est tout simplement enorme, avec des machines a sous aux themes varies. 100% jusqu’a 500 € avec des free spins. Le service d’assistance est au point. Les retraits sont fluides et rapides, occasionnellement des bonus plus frequents seraient un hit. En conclusion, Coolzino Casino est un lieu de fun absolu. Ajoutons que le design est style et moderne, incite a rester plus longtemps. Egalement excellent les evenements communautaires vibrants, qui dynamise l’engagement.
    En savoir davantage|

  10. remontuem-903 Avatar
    remontuem-903

    Замовив https://remontuem.if.ua послугу — дізнався все про монтаж гіпсокартону ціна івано-франківськ.

  11. Kennethbex Avatar
    Kennethbex

    EveraMeds: EveraMeds – п»їcialis generic

  12. Charlessep Avatar
    Charlessep

    https://t.me/s/top_online_kazino/5

  13. IsraelAmolo Avatar
    IsraelAmolo

    https://aeromedsrx.xyz/# AeroMedsRx

  14. seetheworld-237 Avatar
    seetheworld-237

    Інформацію https://seetheworld.top про винтерберг знайшов без проблем.

  15. Davidbluth Avatar
    Davidbluth

    buy Kamagra online: BlueWaveMeds – BlueWaveMeds

  16. Tristanced Avatar
    Tristanced

    kamagra kamagra trusted Kamagra supplier in the US

  17. wildbeatas9zef Avatar
    wildbeatas9zef

    Je suis totalement conquis par Coolzino Casino, ca transporte dans un univers de plaisirs. On trouve une profusion de jeux palpitants, avec des machines a sous aux themes varies. Il propulse votre jeu des le debut. Les agents repondent avec rapidite. Les transactions sont fiables et efficaces, occasionnellement des offres plus consequentes seraient parfaites. En somme, Coolzino Casino est une plateforme qui pulse. Notons aussi la navigation est fluide et facile, ce qui rend chaque session plus palpitante. A signaler les tournois reguliers pour s’amuser, garantit des paiements securises.
    Visiter la plateforme|

  18. shadowforceex6zef Avatar
    shadowforceex6zef

    Je suis epate par MonteCryptos Casino, il offre une experience dynamique. Le catalogue est un paradis pour les joueurs, incluant des paris sur des evenements sportifs. Il amplifie le plaisir des l’entree. Le suivi est toujours au top. Les retraits sont fluides et rapides, rarement quelques tours gratuits en plus seraient geniaux. Globalement, MonteCryptos Casino garantit un amusement continu. A souligner l’interface est simple et engageante, donne envie de prolonger l’aventure. Un atout le programme VIP avec des recompenses exclusives, propose des privileges personnalises.
    MonteCryptos|

  19. driftdreamus9zef Avatar
    driftdreamus9zef

    Je suis completement seduit par Lucky8 Casino, il propose une aventure palpitante. Les jeux proposes sont d’une diversite folle, avec des slots aux graphismes modernes. Il booste votre aventure des le depart. Les agents repondent avec efficacite. Les gains sont verses sans attendre, en revanche quelques free spins en plus seraient bienvenus. Globalement, Lucky8 Casino vaut une visite excitante. A noter la plateforme est visuellement dynamique, ajoute une touche de dynamisme. Particulierement cool les tournois frequents pour l’adrenaline, propose des avantages uniques.
    Tout apprendre|

  20. wildmindok4zef Avatar
    wildmindok4zef

    J’adore le dynamisme de Lucky8 Casino, ca transporte dans un univers de plaisirs. Le catalogue de titres est vaste, offrant des experiences de casino en direct. Le bonus initial est super. Les agents repondent avec efficacite. Les transactions sont d’une fiabilite absolue, malgre tout des recompenses additionnelles seraient ideales. Pour conclure, Lucky8 Casino merite un detour palpitant. A signaler l’interface est fluide comme une soiree, ajoute une vibe electrisante. A mettre en avant les paiements securises en crypto, renforce la communaute.
    Visiter en ligne|

  21. CyberPowerok3zef Avatar
    CyberPowerok3zef

    J’adore la vibe de NetBet Casino, on y trouve une vibe envoutante. Les options sont aussi vastes qu’un horizon, comprenant des jeux compatibles avec les cryptos. 100% jusqu’a 500 € + tours gratuits. Le service client est de qualite. Les paiements sont surs et efficaces, quelquefois des recompenses supplementaires seraient parfaites. En conclusion, NetBet Casino merite une visite dynamique. En extra le site est rapide et style, ce qui rend chaque moment plus vibrant. Particulierement attrayant les options de paris sportifs variees, garantit des paiements rapides.
    Lire plus|

  22. UrbanSpinik8zef Avatar
    UrbanSpinik8zef

    Je suis enthousiasme par NetBet Casino, il offre une experience dynamique. La gamme est variee et attrayante, incluant des options de paris sportifs dynamiques. Le bonus d’inscription est attrayant. Les agents sont toujours la pour aider. Les gains sont transferes rapidement, rarement quelques spins gratuits en plus seraient top. Globalement, NetBet Casino vaut une visite excitante. En complement le design est moderne et energique, apporte une touche d’excitation. Particulierement fun les evenements communautaires engageants, renforce le lien communautaire.
    AccГ©der maintenant|

  23. ZacharyIneks Avatar
    ZacharyIneks

    https://aeromedsrx.xyz/# AeroMedsRx

  24. Charlessep Avatar
    Charlessep

    https://t.me/s/top_online_kazino/6

  25. Charlessep Avatar
    Charlessep

    https://t.me/s/top_online_kazino/4

  26. zemskovmoscow-753 Avatar
    zemskovmoscow-753

    Опытный адвокат http://www.zemskovmoscow.ru в москве: защита по уголовным делам и юридическая поддержка бизнеса. От оперативного выезда до приговора: ходатайства, экспертизы, переговоры. Минимизируем риски, действуем быстро и законно.

  27. ZacharyIneks Avatar
    ZacharyIneks

    https://aeromedsrx.xyz/# AeroMedsRx

Older Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts