Валидация данных в PHP при помощи filter_var

11 февраля 2009

Основой безопасности любого приложения является простое правило: «пришедшим от пользователя данным доверять нельзя». Для этой цели пишется довольно большое количество кода, хотя типичные задачи можно решить стандартными средствами PHP ничего не изобретая.

Например, таким образом можно проверить адрес e-mail при помощи filter_var:

if (filter_var($user_email, FILTER_VALIDATE_EMAIL)) {
  // правильный
}

также можно убрать лишнее, например, из URL:

$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);

Хотя filter_var() есть в стандартном PHP начиная с версии 5.2.0, документация на него, особенно русская, хромает.

Нормальная документация и примеры:

— Руководство w3schools.

— Input Validation: Using filter_var() Over Regular Expressions.

— Data Filtering Using PHP's Filter Functions

Комментарии RSS по email OK

№1243

Чистяков Денис 11 февр. 2009 г., 8:30:47

Спасибо за интересную находку, впервые слышу об этой функции, пошел изучать мануалы…
№1244

Нурлан 11 февр. 2009 г., 9:25:05

Во многих дистрибутивах Linux ещё до версии 5.2 не добрались, поэтому пока рановато.
№1245

dohlik 11 февр. 2009 г., 9:37:46

Еще бы знать, как она там внутри все это проверяет... Если теми же регэкспами, то наверное лучше свои использовать - гибче однако. Хотя наверняка эта функция пошустрее будет
№1246

Леонард 11 февр. 2009 г., 10:24:35

Можно спросить, оно проверяет просто формат мейла или существует ли он реально?
№1247

Алексей Качаев 11 февр. 2009 г., 11:46:47

2Леонард:

Судя по названию функции filter_VAR, она проверяет только прогоняет переменную через указанных "фильтр" и говорит, прошло или нет :) Проверка существования имейла это совершенно другая история.
№1248

Морозов 11 февр. 2009 г., 11:52:08

Чего ж тогда ее родимую в Zend_Validate не используют? :)
№1249

DeadLy 11 февр. 2009 г., 12:20:54

не гуд

string(28) "[email protected]"
№1250

Sam 11 февр. 2009 г., 13:25:05

Почему не гуд? Вполне может быть. Особенно, если мыло внутреннее корпоративное, а домен comzsdsadfsdfsd.
№1611

Герман 05 июня 2009 г., 17:34:12

По поводу документации это да, я искал очень долго хоть чтото про filter_var, чтобы корректо его использовать - спасибо вам - нашел.
№1843

mihdan 21 сент. 2009 г., 16:08:30

echo filter_var('1@1', FILTER_VALIDATE_EMAI) - говорит что мыло верное ;(

echo filter_var('-1@1', FILTER_VALIDATE_EMAI) - говорит что мыло верное ;(

echo filter_var('_1@1', FILTER_VALIDATE_EMAI) - говорит что мыло верное ;(
№1956

Holy Diver 03 нояб. 2009 г., 11:06:32

mihdan, у меня эти мыла не пропускает, версия PHP 5.3.

Да, filter_var очень полезная функция, но жаль что очень загадочная.

P.S. ссылка Data Filtering Using PHP's Filter Functions - битая!
№2315

Anton 18 февр. 2010 г., 19:29:26

** Алексей Качаев ** спасибо КЭП.

по сабжу самый кал оказался когда быстрой альтернативы для РНР < 5.2 не нашел :(
№3202

Bacifer 11 окт. 2010 г., 12:30:35

FILTER_SANITIZE_URL что с урлом делает, расписали бы поподробнее. А так же хотелось бы узнать и про остальные ключи функции если они есть. Спасибо.
№3203

Sam 11 окт. 2010 г., 19:34:15

Bacifer, вроде в посте есть ссылка на полное описание.
№3534

EnChikiben 07 дек. 2010 г., 10:51:08

Bacifer, вроде в посте есть ссылка на полное описание.

Спасибо за полное описание а то на php.net нет ни чего!
№5596

ich 16 нояб. 2011 г., 12:55:11

http://www.codeharmony.ru/materials/17
№5690

Александр 16 дек. 2011 г., 12:06:25

Век живи - век учись. Спасибо за заметку. Навела на определенные мысли.
№7193

Стас 06 дек. 2012 г., 19:05:40

Тоже недавно узнал о ней!