Sjoerd Maessen blog

Input validation with filter functions

Written by

in

Introduction
Although PHP has a lot of filter functions available, I found that still to many people are using (often incorrect) regular expressions to validate user input. The filter extension is simple, standard available and will fulfill the common validations. Below some pratical examples and things to consider when working with PHP filter functions.

Which are available?
Below a shameless copy paste of the PHP documentation.

  • filter_has_var — Checks if variable of specified type exists
  • filter_id — Returns the filter ID belonging to a named filter
  • filter_input_array — Gets external variables and optionally filters them
  • filter_input — Gets a specific external variable by name and optionally filters it
  • filter_list — Returns a list of all supported filters
  • filter_var_array — Gets multiple variables and optionally filters them
  • filter_var — Filters a variable with a specified filter

Pratical use

Sanitizing
“Filter input escape output” every developer knows this but it is a repetitive job but with the filter extension filterering input became a lot easier. When you correctly filter input you drastically lower the change of application vulnerabilities.

Sanitizing a single variable

$sText = ' ';
$sText = filter_var($sText, FILTER_SANITIZE_STRING);
echo $sText; // This is a comment from a alert("scriptkiddie");

Sanitizing multiple variables, same principle as above but with an array, the filter will sanitize all values inside the array

filter_var_array($_POST, FILTER_SANITIZE_STRING);

Validating an email address

if(filter_var($sEmail, FILTER_VALIDATE_EMAIL) === false) {
     $this->addError('Invalid email address', $sEmail);
}

Validation a complete array
Validating all your data at once with a single filter will make your code clear, all in one place and is more easy to maintain an example below.

$aData = array(
	'student'	=> 'Sjoerd Maessen',
	'class'		=> '21',
	'grades' => array(
			'math' => 9,
			'geography' => 66,
			'gymnastics' => 7.5
	)
);

$aValidation = array(
	'student'	=> FILTER_SANITIZE_STRING,
	'class'		=> FILTER_VALIDATE_INT,
	'grades'	=> array(
				'filter' => FILTER_VALIDATE_INT,
				'flags'	 => FILTER_FORCE_ARRAY,
				'options'=> array('min_range'=>0, 'max_range'=>10))
);

echo '
';
var_dump(filter_var_array($aData, $aValidation));

/*array(3) {
  ["student"]=>
  string(14) "Sjoerd Maessen"
  ["class"]=>
  int(21) // Thats strange, my string is converted
  ["grades"]=>
  array(3) {
    ["math"]=>
    int(9)
    ["geography"]=>
    bool(false) // 66 is > 10
    ["gymnastics"]=>
    bool(false) // 7.5 is not an int
  }
}*/



Note: okay I did not expect that the string '21' would validate true against FILTER_VALIDATE_INT, after some more testing I also noticed that min_range and max_range only work with FILTER_VALIDATE_INT, when using floats or scalars the options are just ignored, so be aware!


The sanitizing examples above can be made easily more restrictive by adding flags like FILTER_FLAG_STRIP_LOW to the sanitize filter, FILTER_FLAG_STRIP_LOW will for example strip all characters that have a numerical value below 32.


Things to consider

Although the filter functions are some time available some of them aren't flawless, at some points the documentation is missing or very unclear. Another example is the filter_var validation for IPv6 addresses. (see bug report #50117). So it is always a good thing to check if the filter is really doing what you expect it does. Write testcases before using. If you use it correctly you can write your validations in the blink of an eye, and this extension will be your new best friend.


Links

Filter functions

Filter flags

Comments

2,131 responses to “Input validation with filter functions”

  1. Uofmsipudge Avatar
    Uofmsipudge

    Uofm Sildenafil: Uofm Sildenafil – UofmSildenafil

  2. Jamestep Avatar
    Jamestep

    ПромоКод Букмекерской Конторы Melbet 2026 При Регистрации – это код для новых пользователей, так как он дает денежные призы на первый депозит новым игрокам. рабочий промокод Melbet бонус – это отличный способ сделать игру максимально захватывающей и прибыльной. Букмекер регулярно запускает выгодные бонусные программы и акции, которые помогают беттерам наслаждаться игровым процессом и иметь особые привилегии. Сегодня доступно несколько типов промокодов на игру в Мелбет. Они различаются условиями получения и принципом действия. Melbet промокод при регистрации, увеличивающий сумму первого взноса. С его помощью можно получить дополнительные 130% на игровой баланс для заключения пари.

  3. ArthurTah Avatar
    ArthurTah

    https://uofmsildenafil.com/# sildenafil 110 mg

  4. RichardCreab Avatar
    RichardCreab

    Over the counter antibiotics for infection: buy antibiotics for uti – buy amoxicillin online without prescription

  5. GlennFen Avatar
    GlennFen

    Купить проект отопительной печи для дома порядовка печи — порядовка печи для дома учитывает условия жилого пространства, тепловой режим и требования к вентиляции: она помогает предусмотрительно спланировать размещение печи, дымохода и отопления. Важно выбрать подходящие материалы, учесть доступ к техническому обслуживанию и соблюдение норм пожарной безопасности. Такой документ облегчает монтаж и последующую эксплуатацию дома.

  6. GlennTub Avatar
    GlennTub

    что за игра lucky jet lucky jet сайт — официальный сайт lucky jet служит отправной точкой для многих пользователей: здесь можно найти демо-версию, ознакомиться с правилами, посмотреть отзывы и перейти к играм на деньги. В рамках lucky jet онлайн сайт обычно публикует актуальные акции, бонусы и инструкции по регистрации. Чтобы минимизировать риски, сначала изучите lucky jet регистрация процесс и условия вывода средств. Современные версии предлагают множество функций: демо-режим, ставки на онлайн раундах, а также доступ к стратегиям и потенциальной информации о сигналах. Помните о необходимости ответственной игры и контролируйте свой баланс.

  7. Robertsoops Avatar
    Robertsoops

    http://avtadalafil.com/# Av Tadalafil

  8. Johnnygaw Avatar
    Johnnygaw

    школа трак диспетчинга в сша с нуля цена курса диспетчера грузоперевозок по всему миру с гарантией результата

  9. ArthurTah Avatar
    ArthurTah

    https://uofmsildenafil.xyz/# UofmSildenafil

  10. JustinBucky Avatar
    JustinBucky

    Наш сайт — только официальная информация > http://www.medtronik.ru/

  11. Philipjum Avatar
    Philipjum

    AvTadalafil AvTadalafil Av Tadalafil

  12. Williamhar Avatar
    Williamhar

    1x Bet Free Promo Code https://idematapp.com/wp-content/pages/1xbet_promo_codes_free_bonus_offers.html
    Free promo codes for 1xBet offer users the opportunity to claim bonuses without making a deposit. These codes may provide free bets or free spins, making them highly sought after by both new and existing users.

  13. RichardCreab Avatar
    RichardCreab

    Penn Ivermectin: can you buy stromectol over the counter – ivermectin cream uk

  14. Brianfah Avatar
    Brianfah

    Официальная страница компании в сети > https://sushikim.ru/

  15. Uofmsipudge Avatar
    Uofmsipudge

    Av Tadalafil: tadalafil online australia – AvTadalafil

  16. Johnnygaw Avatar
    Johnnygaw

    школа трак диспетчера на русском курс трак диспетчера онлайн онлайн недорого

  17. GlennTub Avatar
    GlennTub

    https://lucky-jet333.ru/ как найти игру lucky jet — поиск игры следует начинать на официальном сайте и лицензированных платформах, чтобы избежать подделок и мошенничества. Введите запросы вроде «lucky jet официальный сайт» или «lucky jet демо» и проверяйте ссылки на предмет безопасности: наличие SSL, контактную информацию и отзывы пользователей. Сравните несколько площадок по условиям вывода, скорости платежей, доступу к демо и поддержке. Не переходите по сомнительным ссылкам и не вводите данные на непроверенных ресурсах. Важно проверить платформу на наличие лицензии и репутацию в сообществе игроков, а также отсутствие скрытых условий. Демо-режим позволяет потренироваться и понять механику без риска; после этого можно переходить к онлайн-игре на деньги на платформах с хорошими отзывами. При выборе площадки учитывайте не только бонусы, но и ответственность сервиса, прозрачность правил и доступность поддержки.

  18. Philipjum Avatar
    Philipjum

    stromectol where to buy PennIvermectin Penn Ivermectin

  19. Uofmsipudge Avatar
    Uofmsipudge

    MassAntibiotics: Mass Antibiotics – buy antibiotics online

  20. ArthurTah Avatar
    ArthurTah

    https://pennivermectin.xyz/# Penn Ivermectin

  21. Johnnygaw Avatar
    Johnnygaw

    курсы трак диспетчера для новичков курс трак диспетчера в сша вечерний формат

  22. RichardCreab Avatar
    RichardCreab

    tadalafil 5mg in india: tadalafil canada – AvTadalafil

  23. GlennTub Avatar
    GlennTub

    игра lucky jet lucky jet онлайн — онлайн-режим даёт быстрый доступ к раундам через браузер или мобильное приложение, иногда с возможностью синхронизации учётной записи между устройствами. В онлайн-формате часто доступны демо-режим и реальная игра на деньги, что позволяет подобрать баланс между риском и потенциальной выгодой. Важно помнить, что онлайн-игра — это азартное развлечение, и решения должны приниматься ответственно: устанавливайте лимиты на ставки, не ставьте средства, выходящие за рамки бюджета, и регулярно отдыхайте от игры. Источник онлайн-доступа должен быть лицензированным, безопасность платежей и защита личных данных — на высоте. При выборе платформы смотрите на качество сервиса, скорость выплат и доступность поддержки, а также на наличие официального сайта, который публикует правила, бонусы и инструкции по выводу.

  24. ArthurTah Avatar
    ArthurTah

    https://pennivermectin.com/# ivermectin 3

  25. Philipjum Avatar
    Philipjum

    MassAntibiotics buy doxycycline without prescription antibiotic without presription

  26. Johnnygaw Avatar
    Johnnygaw

    обучение диспетчера грузов в Америке как стать truck dispatcher без опыта

  27. RichardCreab Avatar
    RichardCreab

    ivermectin bottle: Penn Ivermectin – Penn Ivermectin

  28. Uofmsipudge Avatar
    Uofmsipudge

    Penn Ivermectin: PennIvermectin – ivermectin 3mg

  29. Robertsoops Avatar
    Robertsoops

    https://massantibiotics.com/# best online doctor for antibiotics

  30. Johnnygaw Avatar
    Johnnygaw

    курс трак диспетчера онлайн с реальными кейсами курс диспетчера

  31. Philipjum Avatar
    Philipjum

    MassAntibiotics buy antibiotics from india MassAntibiotics

Older Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts