Sjoerd Maessen blog

Input validation with filter functions

Written by

in

Introduction
Although PHP has a lot of filter functions available, I found that still to many people are using (often incorrect) regular expressions to validate user input. The filter extension is simple, standard available and will fulfill the common validations. Below some pratical examples and things to consider when working with PHP filter functions.

Which are available?
Below a shameless copy paste of the PHP documentation.

  • filter_has_var — Checks if variable of specified type exists
  • filter_id — Returns the filter ID belonging to a named filter
  • filter_input_array — Gets external variables and optionally filters them
  • filter_input — Gets a specific external variable by name and optionally filters it
  • filter_list — Returns a list of all supported filters
  • filter_var_array — Gets multiple variables and optionally filters them
  • filter_var — Filters a variable with a specified filter

Pratical use

Sanitizing
“Filter input escape output” every developer knows this but it is a repetitive job but with the filter extension filterering input became a lot easier. When you correctly filter input you drastically lower the change of application vulnerabilities.

Sanitizing a single variable

$sText = ' ';
$sText = filter_var($sText, FILTER_SANITIZE_STRING);
echo $sText; // This is a comment from a alert("scriptkiddie");

Sanitizing multiple variables, same principle as above but with an array, the filter will sanitize all values inside the array

filter_var_array($_POST, FILTER_SANITIZE_STRING);

Validating an email address

if(filter_var($sEmail, FILTER_VALIDATE_EMAIL) === false) {
     $this->addError('Invalid email address', $sEmail);
}

Validation a complete array
Validating all your data at once with a single filter will make your code clear, all in one place and is more easy to maintain an example below.

$aData = array(
	'student'	=> 'Sjoerd Maessen',
	'class'		=> '21',
	'grades' => array(
			'math' => 9,
			'geography' => 66,
			'gymnastics' => 7.5
	)
);

$aValidation = array(
	'student'	=> FILTER_SANITIZE_STRING,
	'class'		=> FILTER_VALIDATE_INT,
	'grades'	=> array(
				'filter' => FILTER_VALIDATE_INT,
				'flags'	 => FILTER_FORCE_ARRAY,
				'options'=> array('min_range'=>0, 'max_range'=>10))
);

echo '
';
var_dump(filter_var_array($aData, $aValidation));

/*array(3) {
  ["student"]=>
  string(14) "Sjoerd Maessen"
  ["class"]=>
  int(21) // Thats strange, my string is converted
  ["grades"]=>
  array(3) {
    ["math"]=>
    int(9)
    ["geography"]=>
    bool(false) // 66 is > 10
    ["gymnastics"]=>
    bool(false) // 7.5 is not an int
  }
}*/



Note: okay I did not expect that the string '21' would validate true against FILTER_VALIDATE_INT, after some more testing I also noticed that min_range and max_range only work with FILTER_VALIDATE_INT, when using floats or scalars the options are just ignored, so be aware!


The sanitizing examples above can be made easily more restrictive by adding flags like FILTER_FLAG_STRIP_LOW to the sanitize filter, FILTER_FLAG_STRIP_LOW will for example strip all characters that have a numerical value below 32.


Things to consider

Although the filter functions are some time available some of them aren't flawless, at some points the documentation is missing or very unclear. Another example is the filter_var validation for IPv6 addresses. (see bug report #50117). So it is always a good thing to check if the filter is really doing what you expect it does. Write testcases before using. If you use it correctly you can write your validations in the blink of an eye, and this extension will be your new best friend.


Links

Filter functions

Filter flags

Comments

1,118 responses to “Input validation with filter functions”

  1. Davidbluth Avatar
    Davidbluth

    Cheap Viagra 100mg: Viagra generic over the counter – Generic Viagra for sale

  2. IsraelAmolo Avatar
    IsraelAmolo

    https://everameds.xyz/# Tadalafil Tablet

  3. Davidbluth Avatar
    Davidbluth

    viagra canada: AeroMedsRx – AeroMedsRx

  4. Tristanced Avatar
    Tristanced

    AeroMedsRx Viagra without a doctor prescription Canada AeroMedsRx

  5. sonicforceok8zef Avatar
    sonicforceok8zef

    Je suis epate par Pokerstars Casino, ca transporte dans un univers de plaisirs. La bibliotheque est pleine de surprises, comprenant des jeux compatibles avec les cryptos. Il donne un avantage immediat. Le suivi est d’une precision remarquable. Le processus est transparent et rapide, mais des offres plus consequentes seraient parfaites. Globalement, Pokerstars Casino offre une experience hors du commun. Pour completer la navigation est claire et rapide, ajoute une vibe electrisante. Un avantage notable le programme VIP avec des recompenses exclusives, renforce le lien communautaire.
    Apprendre les dГ©tails|

  6. starzoneok9zef Avatar
    starzoneok9zef

    Je suis fascine par Stake Casino, on ressent une ambiance festive. Le choix est aussi large qu’un festival, incluant des options de paris sportifs dynamiques. Il offre un demarrage en fanfare. Le support client est irreprochable. Les paiements sont securises et instantanes, de temps a autre plus de promos regulieres ajouteraient du peps. En bref, Stake Casino merite une visite dynamique. En bonus le site est rapide et style, facilite une immersion totale. Un avantage les tournois reguliers pour s’amuser, assure des transactions fiables.
    Continuer ici|

  7. cyberfireor9zef Avatar
    cyberfireor9zef

    Je suis fascine par Pokerstars Casino, il procure une sensation de frisson. Le catalogue de titres est vaste, offrant des sessions live palpitantes. Il donne un avantage immediat. Le support client est irreprochable. Les transactions sont toujours securisees, par moments quelques free spins en plus seraient bienvenus. En bref, Pokerstars Casino est un lieu de fun absolu. Ajoutons aussi le design est style et moderne, permet une plongee totale dans le jeu. A noter les tournois reguliers pour la competition, qui stimule l’engagement.
    http://www.pokerstarscasino777fr.com|

  8. Sonicriseen4zef Avatar
    Sonicriseen4zef

    Je suis emerveille par Stake Casino, c’est un lieu ou l’adrenaline coule a flots. La bibliotheque de jeux est captivante, avec des slots aux graphismes modernes. 100% jusqu’a 500 € plus des tours gratuits. Le suivi est d’une precision remarquable. Les paiements sont surs et fluides, parfois des recompenses supplementaires seraient parfaites. En somme, Stake Casino est un choix parfait pour les joueurs. A mentionner la plateforme est visuellement captivante, amplifie l’adrenaline du jeu. Particulierement interessant les nombreuses options de paris sportifs, qui booste la participation.
    DГ©marrer maintenant|

  9. dreamcraftex4zef Avatar
    dreamcraftex4zef

    Je suis totalement conquis par Mystake Casino, c’est une plateforme qui pulse avec energie. Les titres proposes sont d’une richesse folle, avec des machines a sous visuellement superbes. Il donne un elan excitant. Le service client est excellent. Le processus est clair et efficace, cependant quelques free spins en plus seraient bienvenus. Dans l’ensemble, Mystake Casino est une plateforme qui fait vibrer. Notons egalement la navigation est claire et rapide, apporte une energie supplementaire. Un bonus le programme VIP avec des avantages uniques, qui dynamise l’engagement.
    Poursuivre la lecture|

  10. LunarCodein8zef Avatar
    LunarCodein8zef

    Je suis epate par Casinozer Casino, ca invite a l’aventure. Les options sont aussi vastes qu’un horizon, proposant des jeux de casino traditionnels. Il offre un demarrage en fanfare. Le service d’assistance est au point. Les paiements sont securises et rapides, par moments des offres plus genereuses seraient top. Pour finir, Casinozer Casino offre une aventure inoubliable. Pour couronner le tout la plateforme est visuellement dynamique, ajoute une touche de dynamisme. Un avantage notable les transactions en crypto fiables, cree une communaute soudee.
    En savoir davantage|

  11. WildSpinus9zef Avatar
    WildSpinus9zef

    Je ne me lasse pas de Mystake Casino, on y trouve une vibe envoutante. Le choix est aussi large qu’un festival, offrant des sessions live immersives. Il booste votre aventure des le depart. Le support est efficace et amical. Les gains arrivent sans delai, mais encore des bonus varies rendraient le tout plus fun. Pour conclure, Mystake Casino est un lieu de fun absolu. En plus la navigation est fluide et facile, ce qui rend chaque session plus excitante. Egalement super les tournois frequents pour l’adrenaline, renforce le lien communautaire.
    Essayer|

  12. ZacharyIneks Avatar
    ZacharyIneks

    http://everameds.com/# EveraMeds

  13. sonicvibeer7zef Avatar
    sonicvibeer7zef

    Je suis captive par Casinozer Casino, il cree une experience captivante. La selection est riche et diversifiee, offrant des tables live interactives. Avec des transactions rapides. Disponible 24/7 pour toute question. Les retraits sont lisses comme jamais, malgre tout des bonus plus frequents seraient un hit. En somme, Casinozer Casino garantit un plaisir constant. En extra la plateforme est visuellement vibrante, ajoute une touche de dynamisme. A souligner les paiements en crypto rapides et surs, qui motive les joueurs.
    Voir la page d’accueil|

  14. ZacharyIneks Avatar
    ZacharyIneks

    https://everameds.com/# Generic Cialis without a doctor prescription

  15. Tristanced Avatar
    Tristanced

    AeroMedsRx sildenafil 50 mg price AeroMedsRx

  16. Davidbluth Avatar
    Davidbluth

    BlueWaveMeds: Blue Wave Meds – kamagra

  17. IsraelAmolo Avatar
    IsraelAmolo

    http://aeromedsrx.com/# AeroMedsRx

  18. Jasonbox Avatar
    Jasonbox

    Нотариальный перевод быстро – юридический перевод документов и текстов. Самара, нужен перевод? Выполним быстро! Документы, нотариус, срочно. Любые языки. Доступные цены. Качество.

Older Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts