Input validation with filter functions
Introduction
Although PHP has a lot of filter functions available, I found that still to many people are using (often incorrect) regular expressions to validate user input. The filter extension is simple, standard available and will fulfill the common validations. Below some pratical examples and things to consider when working with PHP filter functions.
Which are available?
Below a shameless copy paste of the PHP documentation.
- filter_has_var — Checks if variable of specified type exists
- filter_id — Returns the filter ID belonging to a named filter
- filter_input_array — Gets external variables and optionally filters them
- filter_input — Gets a specific external variable by name and optionally filters it
- filter_list — Returns a list of all supported filters
- filter_var_array — Gets multiple variables and optionally filters them
- filter_var — Filters a variable with a specified filter
Pratical use
Sanitizing
“Filter input escape output” every developer knows this but it is a repetitive job but with the filter extension filterering input became a lot easier. When you correctly filter input you drastically lower the change of application vulnerabilities.
Sanitizing a single variable
$sText = ' ';
$sText = filter_var($sText, FILTER_SANITIZE_STRING);
echo $sText; // This is a comment from a alert("scriptkiddie");
Sanitizing multiple variables, same principle as above but with an array, the filter will sanitize all values inside the array
filter_var_array($_POST, FILTER_SANITIZE_STRING);
Validating an email address
if(filter_var($sEmail, FILTER_VALIDATE_EMAIL) === false) {
$this->addError('Invalid email address', $sEmail);
}
Validation a complete array
Validating all your data at once with a single filter will make your code clear, all in one place and is more easy to maintain an example below.
$aData = array(
'student' => 'Sjoerd Maessen',
'class' => '21',
'grades' => array(
'math' => 9,
'geography' => 66,
'gymnastics' => 7.5
)
);
$aValidation = array(
'student' => FILTER_SANITIZE_STRING,
'class' => FILTER_VALIDATE_INT,
'grades' => array(
'filter' => FILTER_VALIDATE_INT,
'flags' => FILTER_FORCE_ARRAY,
'options'=> array('min_range'=>0, 'max_range'=>10))
);
echo '';
var_dump(filter_var_array($aData, $aValidation));
/*array(3) {
["student"]=>
string(14) "Sjoerd Maessen"
["class"]=>
int(21) // Thats strange, my string is converted
["grades"]=>
array(3) {
["math"]=>
int(9)
["geography"]=>
bool(false) // 66 is > 10
["gymnastics"]=>
bool(false) // 7.5 is not an int
}
}*/
Note: okay I did not expect that the string '21' would validate true against FILTER_VALIDATE_INT, after some more testing I also noticed that min_range and max_range only work with FILTER_VALIDATE_INT, when using floats or scalars the options are just ignored, so be aware!
The sanitizing examples above can be made easily more restrictive by adding flags like FILTER_FLAG_STRIP_LOW to the sanitize filter, FILTER_FLAG_STRIP_LOW will for example strip all characters that have a numerical value below 32.
Things to consider
Although the filter functions are some time available some of them aren't flawless, at some points the documentation is missing or very unclear. Another example is the filter_var validation for IPv6 addresses. (see bug report #50117). So it is always a good thing to check if the filter is really doing what you expect it does. Write testcases before using. If you use it correctly you can write your validations in the blink of an eye, and this extension will be your new best friend.
Links
Filter functions
Filter flags
Adoro demais o clima de DazardBet Casino, e um cassino online que e pura adrenalina. Tem uma avalanche de jogos de cassino variados, com slots de cassino unicos e vibrantes. O suporte do cassino esta disponivel 24/7, com uma ajuda que e um show a parte. Os pagamentos do cassino sao suaves e seguros, porem as ofertas do cassino podiam ser mais generosas. Ta na cara, DazardBet Casino e o point perfeito pros fas de cassino para os viciados em emocoes de cassino! E mais o site do cassino e uma obra-prima grafica, da um toque de classe ao cassino.
dazardbet kasyno|
sparklemoth8zef
19 Oct 25 at 7:35 am
Sou louco pela aura de SpellWin Casino, da uma energia de cassino que e pura magia. A gama do cassino e simplesmente um feitico de prazeres, com caca-niqueis de cassino modernos e enfeiticantes. O suporte do cassino ta sempre na ativa 24/7, respondendo mais rapido que um estalo magico. Os pagamentos do cassino sao lisos e blindados, porem mais giros gratis no cassino seria uma loucura magica. Na real, SpellWin Casino oferece uma experiencia de cassino que e puro feitico para os viciados em emocoes de cassino! De bonus o site do cassino e uma obra-prima de estilo mistico, torna a experiencia de cassino um conto de fadas.
spellwin greece|
zestycandycrow6zef
19 Oct 25 at 8:15 am
Ich liebe die Pracht von King Billy Casino, es ist ein Online-Casino, das wie ein Konig regiert. Die Casino-Optionen sind vielfaltig und prachtig, inklusive eleganter Casino-Tischspiele. Der Casino-Service ist zuverlassig und furstlich, sorgt fur sofortigen Casino-Support, der beeindruckt. Der Casino-Prozess ist klar und ohne Intrigen, trotzdem mehr Casino-Belohnungen waren ein furstlicher Gewinn. Zusammengefasst ist King Billy Casino ein Casino mit einem Spielspa?, der wie ein Kronungsfest funkelt fur Fans von Online-Casinos! Ubrigens das Casino-Design ist ein optisches Kronungsjuwel, das Casino-Erlebnis total veredelt.
promo code king billy casino|
goofybeetle9zef
19 Oct 25 at 8:24 am
Sou louco pela energia de BetorSpin Casino, e um cassino online que gira como um asteroide em chamas. O catalogo de jogos do cassino e uma nebulosa de emocoes, com caca-niqueis de cassino modernos e hipnotizantes. Os agentes do cassino sao rapidos como um foguete estelar, dando solucoes na hora e com precisao. Os saques no cassino sao velozes como uma viagem interestelar, de vez em quando mais giros gratis no cassino seria uma loucura estelar. Em resumo, BetorSpin Casino e o point perfeito pros fas de cassino para os astronautas do cassino! De lambuja o site do cassino e uma obra-prima de estilo estelar, faz voce querer voltar ao cassino como um cometa em orbita.
betorspin scam|
glimmerfizzytoad7zef
19 Oct 25 at 9:25 am
cialis [url=https://pilloleverdi.com/#]miglior prezzo Cialis originale[/url] tadalafil senza ricetta
GeorgeHot
19 Oct 25 at 9:25 am
https://tadalafiloexpress.shop/# tadalafilo sin receta
LarryArrix
19 Oct 25 at 9:47 am
https://intimisante.com/# cialis sans ordonnance
MickeySum
19 Oct 25 at 10:51 am
https://t.me/s/official_1win_aviator
AceSorcerer
19 Oct 25 at 11:41 am
Amo a energia de BETesporte Casino, e uma plataforma que pulsa com a energia de um estadio lotado. O catalogo e vibrante e multifacetado, incluindo apostas esportivas que aceleram o coracao. Eleva a experiencia de jogo. O servico esta disponivel 24/7, oferecendo respostas claras e rapidas. Os saques sao rapidos como um drible, no entanto mais apostas gratis seriam incriveis. No fim, BETesporte Casino oferece uma experiencia inesquecivel para fas de cassino online ! Tambem a plataforma e visualmente impactante, tornando cada sessao mais vibrante. Muito atrativo os eventos comunitarios envolventes, que impulsiona o engajamento.
Aprender os detalhes|
BlazeStrikerT3zef
19 Oct 25 at 11:43 am
internet apotheke [url=https://potenzvital.shop/#]internet apotheke[/url] potenzmittel cialis
GeorgeHot
19 Oct 25 at 11:47 am
[https://t.me/s/official_1win_aviator](https://t.me/s/official_1win_aviator)
HighRollerMage
19 Oct 25 at 11:55 am
[https://t.me/s/official_1win_aviator](https://t.me/s/official_1win_aviator)
RouletteRogue
19 Oct 25 at 12:27 pm
farmacia online espaГ±a envГo internacional: Tadalafilo Express – farmacia online envГo gratis
RaymondNit
19 Oct 25 at 1:54 pm
farmacia online italiana Cialis: PilloleVerdi – cialis generico
JosephPseus
19 Oct 25 at 2:26 pm