在PHP的过滤功能可能不性感,但如果你学会了如何正确地使用它们,它们可以改善的稳定性,安全性,甚至你的代码的可维护性。
在以下的内容中将解释为什么输入验证是非常重要的,重要的是为什么使用内置函数执行输入验证PHPS,然后扔在一起的一些例子(即使用filter_input()和filter_var() ),讨论了一些潜在的隐患。
为什么要输入验证是非常重要
输入验证是其中一个最重要的事情可以做,以确保代码的安全性,因为输入的是经常的一件事对您的应用程序,你不能直接控制。因为你无法控制它,你可以不相信它。
不幸的是,作为程序员,我们往往只想到如何,我们希望他们的工作写的东西。我们不考虑别人可能会想如何使他们的工作 - 无论是出于好奇,无知或恶意。
我现在不打算进入太多有关你可以获取到,如果你不没有验证用户输入的麻烦的细节;有是1称为这个非常网站真的很好的文章PHP的安全性:跨站点脚本攻击是否要读了上它。但我会说,验证您输入的是确保你所编写的代码将被执行,如预期的第一步。
也许你到PHP,从另一种语言,你可能会想,“这是从来没有一个问题之前,我为什么要关心?”验证的原因是一个问题,是因为PHP是松散类型。这使得PHP的一些事情,但它可以使像数据验证的事情有点麻烦,因为你几乎可以通过任何东西。
为什么使用内置方法是很重要
为了尝试,使验证更容易一点点从PHP 5.2.0起,我们现在可以使用filter_input()和filter_var()函数。谈论他们,我会尽快在更多的细节,但首先我想谈谈我们为什么要使用PHP提供的,而不是依靠我们自己的方法或第三方工具的功能。
你滚你自己的验证方法时,你通常落入同样的陷阱,你可以设计其他功能时落入边缘的情况下,你要想想你想想,不一定所有的,可以用来掩盖不同载体某些输入。另一个问题是,如果你是像我这样的事,任何代码审查处理手卷验证码第10分钟花在tutting因为程序员没有这样做你会做什么。这可能导致程序员花费更多的时间学习的codebase和阅读,可代替用于编码的内部文件。
有些人不推出自己的,而是选择一个第三方的解决方案。也有一些好的,在那里,在过去,我已经使用OWASP的ESAPI一些额外的验证。这些比也许手卷的解决方案更好,因为更多的眼睛都在看着他们,但你必须引入第三方的代码到您的项目的问题。再次,这增加了时间花在学习代码库和阅读其他文档,而不是编码。
由于这些原因,使用本机的功能是更好的;此外,由于这些功能是烤成的语言,这意味着我们有一个地方去所有的PHP文件。新的开发将有一个更大的机会,知道代码是什么,以及如何最好地使用它。作为这一结果的支持,它会更容易。
希望现在的我,你相信,验证是非常重要的,这将是一个好主意,使用PHP函数来帮助你实现你的验证需求。如果你不相信,发表评论,让我们来讨论它。
一些例子
filter_input()函数在PHP 5.2.0中引入,并允许你得到外部变量的名字和过滤。时处理的$ _GET和$ ??_POST数据,这是非常有用的。
让我们看看一个简单的页面,上面写着从URL传递一个值,并处理它作为一个例子。我们知道,这个值应该是15和20之间的整数。
会是这样做的方法之一:
if (isset()($_GET["value"])) {
$value = $_GET["value"];
}
else {
$value = false;
}
if (is_numeric($value) && ($value >= 15 && $value <= 20)) {
// run my code
}
else {
// handle the issue
}
这是一个非常基本的例子,我们已经写更多的行,我想看到??的。
首先,因为我们不能确定设置的$ _GET,代码执行适当的检查,使脚本不翻倒。
其次是美元值现在是一个“脏”的变量,因为它已被直接从指定的$ _GET价值的事实。我们需要照顾,不使用美元的价值在代码的其他地方的情况下,我们打破任何东西。
再有就是,16.0 is_numeric()函数是有效的,因为各种语气词它的问题。
最后,我们必须与事实问题,如果声明是了一口采取位,是一个额外的逻辑位通过当你通过代码跟踪工作。
现在比较上面的例子:
$value = filter_input(INPUT_GET, "value", FILTER_VALIDATE_INT,
array("options" => array("min_range" => 15, "max_range" => 20)));
if ($value) {
// run my code
}
else {
// handle the issue
}
不会让你感觉温暖和模糊?
filter_input()处理的$ _GET值没有被设置,所以你不必强调脚本是否接收正确的信息,或不。
你也不必约担心美元价值是肮脏的,因为它已被证实之前,它已经被分配。
注意现在的16.0不再有效。
最后,我们的逻辑不再复杂。这只是一个快速检查为truthy值(filter_input()如果验证失败,将返回false和null如果没有设置$ _GET [“价值”)。
显然,在一个真实的世界设定,你可以提取数组存储在配置文件中的变量到某个地方,以便可以得到的东西,甚至无需进入业务逻辑改变。华丽!
现在,你可能会想,这可能是有用抢一对夫妇的简单脚本的$ _GET或$ _POST变量,但内部使用的函数或类约?幸运的是,我们有该filter_var() 。
filter_var()函数被引入,同时作为filter_input()做同样的事情。
<?php
//这是一个示例函数,不使用这实际上电子邮件,
//那将是愚蠢的。
function emailUser($email) {
mail($email, "Here is my email", "Some Content");
}
这里的危险是,有没有试图发送一封电子邮件,从字面上任何值可以存储在停止邮件()函数$电子邮件。这可能会导致无法发送电子邮件,或东西越来越可能在最坏的情况下使用的恶意功能。
我所看到的人做的 ??结果支票的mail() ,这是很好看,如果该函数成功完成,但损害的是时间值返回。
像这样的东西是更加理智:
// This is a sample function, do not use this to actually email,
// that would be silly.
function emailUser($email) {
$email = filter_var($email, FILTER_VALIDATE_EMAIL);
if ($email !== false) {
mail($email, "Here is my email", "Some Content");
}
else {
// handle the issue invalid email address
}
}
用了很多例子,包括上述的问题是,他们是基本的。你可能会想,不能用于基本检查以外的任何filter_var()或filter_input() 。并允许你在一个过滤器传递给这些函数称为FILTER_CALLBACK。
FILTER_CALLBACK使您可以通过在您创建将接受被过滤的变量输入功能-这是哪里,你就可以开始,因为有很多的乐趣,你就可以开始自己的业务逻辑应用到您的过滤。
一些潜在的缺陷
这些功能是非常伟大,他们让你做一些真正强大的过滤,我们已经讨论过,可以帮助提高你的代码的安全性和可靠性。但是也有一些潜在的缺点,我会觉得我是失职的,如果我不指出来。
主要缺陷是,只要你的过滤器适用于它的功能是。最后一个例子,使用电子邮件验证-如何处理电子邮件地址改变5.2.14和5.3.3之间FILTER_VALIDATE_EMAIL,即使假设所有的应用程序上运行同一版本的PHP有电子邮件地址,在技术上是有效的,你可能不希望。请确保您知道您所使用的过滤器。
第二个陷阱是,人们认为,如果他们在一些过滤器,然后把他们的代码是安全的。筛选的变量去一些帮助,但它不会使你的代码100%安全不受虐待。我很想谈谈这个问题,但超出了本文的范围和我的字数已经是相当高的!
总结:
我想你在你的代码的一个函数,只有一个,看看会发生什么,当你在不同的数据类型和不同的价值观传递。
然后,我想你申请一些在这里讨论的过滤方法,看看是否有在您的代码如何执行差异。我很想知道你是怎么在评论。
php中自带的ip2long函数可以将IP转化为数字,不过经常是负数。
$ip = "182.18.8.196";
echo '<hr>';
echo ip2long($ip);
echo " @ ";
echo $ipfu = ip2int($ip);
echo ' @ ';
$ip_n = bindec(decbin(ip2long($ip)));
echo $ip_n;
echo ' @ ';
echo long2ip($ip_n);
echo ' @ ';
echo long2ip($ipfu);//数字转化成IP
//可以直接采用本函数来得出ip地址转化成的数字。
function myip2long($ip){
return bindec(decbin(ip2long($ip)));
}
//此函数和ip2long 等同
function ip2int($ip){
list($ip1,$ip2,$ip3,$ip4)=explode()(".",$ip);
return ($ip1<<24)|($ip2<<16)|($ip3<<8)|($ip4);
}
这样可以得出正的了:
-1240332092 @ -1240332092 @ 3054635204 @ 182.18.8.196 @ 182.18.8.196
3054635204
直接调用myip2long 函数即可得正数。
您可能感兴趣的文章:
php实现IP地址与数字互换的代码
一、错误、异常 等级常量表
error:不能在编译期发现的运行期错误,不如试图用 echo 输出一个未赋值的变量,这类问题往往导致程序或逻辑无法继续下去而需要中断;
exception:程序执行过程中出现意料之外的情况,逻辑上往往是行得通的,但不符合应用场景,比如接收到一个长度长错预定格式的用户命名,因此,异常主要靠编码人员做预先做判断后抛出,捕获异常后改变程序流程来处理这些情况,不必中断程序。
PHP 对于异常和错误的界定似乎不是很明显,尤其是低版本的PHP。
错误和日志记录值 常量 说明 备注
1 E_ERROR (integer) 致命的运行时错误。|这类错误一般是不可恢复的情况,例如内存分配导致的问题。后果是导致脚本终止不再继续运行。
2 E_WARNING (integer) 运行时警告 (非致命错误)。 |仅给出提示信息,但是脚本不会终止运行。
4 E_PARSE (integer) 编译时语法解析错误。|解析错误仅仅由分析器产生。
8 E_NOTICE (integer) 运行时通知。 |表示脚本遇到可能会表现为错误的情况,但是在可以正常运行的脚本里面也可能会有类似的通知。
16 E_CORE_ERROR(integer) PHP初始化启动过程中发生的致命错误。 |该错误类似 E_ERROR,但是是由PHP引擎核心产生的。 since PHP 4
32 E_CORE_WARNING(integer) PHP初始化启动过程中发生的警告 (非致命错误) 。 |类似 E_WARNING,但是是由PHP引擎核心产生的。 since PHP 4
64 E_COMPILE_ERROR(integer) 致命编译时错误。|类似E_ERROR, 但是是由Zend脚本引擎产生的。 since PHP 4
128 E_COMPILE_WARNING(integer) 编译时警告 (非致命错误)。 |类似 E_WARNING,但是是由Zend脚本引擎产生的。 since PHP 4
256 E_USER_ERROR(integer) 用户产生的错误信息。 |类似 E_ERROR, 但是是由用户自己在代码中使用PHP函数 trigger_error()来产生的。 since PHP 4
512 E_USER_WARNING(integer) 用户产生的警告信息。 |类似 E_WARNING, 但是是由用户自己在代码中使用PHP函数 trigger_error()来产生的。 since PHP 4
1024 E_USER_NOTICE(integer) 用户产生的通知信息。 |类似 E_NOTICE, 但是是由用户自己在代码中使用PHP函数 trigger_error()来产生的。 since PHP 4
2048 E_STRICT (integer) 启用 PHP 对代码的修改建议。 |确保代码具有最佳的互操作性和向前兼容性, since PHP 5
4096 E_RECOVERABLE_ERROR(integer) 可被捕捉的致命错误。 |它表示发生了一个可能非常危险的错误,但是还没有导致PHP引擎处于不稳定的状态。 如果该错误没有被用户自定义句柄捕获 (参 见 set_error_handler()),将成为一个 E_ERROR 从而脚本会终止运行。 since PHP 5.2.0
8192 E_DEPRECATED(integer) 运行时通知。 |启用后将会对在未来版本中可能无法正常工作的代码给出警告。 since PHP 5.3.0
16384E_USER_DEPRECATED(integer) 户产少的警告信息。 |类似 E_DEPRECATED, 但是是由用户自己在代码中使用PHP函数 trigger_error()来产生的。 since PHP 5.3.0
30719E_ALL (integer) E_STRICT出外的所有错误和警告信息。
*30719 in PHP 5.3.x, 6143 in PHP 5.2.x, 2047 previously
二、error_reporting() 及 try-catch、thrown
error_reporting() 函数可以获取(不传参时)、设定脚本处理哪些异常(并非所有异常都需要处理,例如 E_CORE_WARNING、E_NOTICE、E_DEPRECATED 是可以忽略的),该设定将覆盖 php.ini 中 error_reporting选项定义的异常处理设定。
例如:
error_reporting(E_ALL&~E_NOTICE) ; // 除了E_NOTICE其他异常都会被触发(E_ALL&~E_NOTICE 的二进制运算结果是:E_NOTICE对应位的值被设置为0,应注意到,错误和日志记录值都是一个二进制数,某一位设置为1)
try-catch 无法在类的自动加载函数 __autoload() 内生效。
try-catch 无法用于捕获异常,无法捕获错误,例如 trigger_error() 触发的错误,异常和错误是不一样的。
try{
// you codes that maybe cause an error
}catch(Exception $err){ // 这个错误对象需要声明类型, Exception 是系统默认异常处理类
echo $err->getMessage();
}
//thrown 可以抛出一个异常,如:
thrown new Exception('an error');
一个例子:
try {
if ( empty( $var1 ) ) throw new NotEmptyException();
if ( empty( $var2 ) ) throw new NotEmptyException();
if ( ! preg_match() ) throw new InvalidInputException();
$model->write();
$template->render( 'success' );
} catch ( NotEmptyException $e ) {
$template->render( 'error_empty' );
} catch ( InvalidInputException $e ) {
$template->render( 'error_preg' );
}
Exception 类的结构:其中大部分方法都是 禁止改写的(final )
Exception {
/* 属性 */
protected string $message ;
protected int $code ;
protected string $file ;
protected int $line ;
/* 方法 */
public __construct ([ string $message = "" [, int $code = 0 [, Exception $previous = null]]] )
final public string getMessage ( void ) //异常抛出的信息
final public Exception getPrevious ( void ) //前一异常
final public int getCode ( void ) //异常代码,这是用户自定义的
final public string getFile ( void ) //发生异常的文件路劲
final public int getLine ( void ) //发生异常的行
final public array getTrace ( void ) //异常追踪信息(array)
final public string getTraceAsString ( void ) //异常追踪信息(string)
public string __toString ( void ) //试图直接 将异常对象当作字符串使用时调用子函数的返回值
final private void __clone ( void ) //克隆异常对象时调用
}
扩展异常类
try-catch 可以有多个 catch 子句,从第一个 catch 子句开始,如果子句内的 异常变量 类型匹配 thrown 语句抛出的异常类型,则该子句会被执行而不再执行其他catch子句,否则继续尝试下一个 catch 子句,由于Exception 是所有 异常类的基类,因此抛出的异常都会与他匹配 ,如果需要根据不同异常类型使用不同的处理方法,应该将 Exception 类型的 catch 子句放到最后。
Exception 是所有异常的基类,可以根据实际需要扩展异常类
calss MyException extends Exception{
public errType = 'default';
public function __construct($errType=''){
$this->errType = $errType;
}
}
try{ // you codes that maybe cause an error
thrown new MyException('an error');
}catch(MyException $err){ // 这个错误对象需要声明类型
echo $err->errType();
}catch(ErrorException $err){ //ErrorException 是 PHP 5 增加的异常类,继承于 Exception
echo 'error !';
}catch(Exception $err){
redirect('/error.php');
}
你可能会在 catch 子句中判断异常的类型,或者根据 code 等信息来决定是否处理异常,如果你卸载 catch 子句的代码无法适当的处理捕获的异常,你可以在 catch 子句内继续 抛出异常。
三、Exception 异常的回调函数
set_exception_handler(callback functionName) //发生 Exception 或其 子类的 异常是会调用此函数
function exceptionHandlerFun($errObj){ // Exception 异常的回调函数 只有一个参数,就是抛出的异常对象。
//.......
}
Exception 异常的回调函数并不能像 set_error_handler 的回调函数那样通过返回 true 来使异常被消除,即使回调函数处理了异常,后继代码也不会被继续执行,因此想继续执行后续代码必须使用 try-catch。
但是有一个例外:脚本结束回调函数可以被执行,抛出的异常即使没有被处理,该回调函数也是能被执行的。
register_shutdown_function(callback functionName[,argument1,argument2,...]);
例如:
echo 'script is end';
}
register_shutdown_function("shutdownfunction");
因为 shutdownfunction() 在脚本结束时被执行,所以 这个回调函数之内可以调用脚本中任意位置的函数,即使该函数定义在 错误抛出位置之后(函数定义是在 脚本编译期完成的)。
四、trigger_error(string errorMsg[,int user_error_type])
该函数用于主动触发一个错误: user_error_type 只能是 E_ALL、E_USER_ERROR、 E_USER_WARNING、 E_USER_NOTICE 或其组合的值。
set_error_handler(callback functionName[,user_error_type]); // 为 trigger_error() 设置一个回调函数来处理错误,包括系统抛出的错误和用户使用 trigger_error() 函数触发的错误。
可选参数 user_error_type :
如果设定此参数,则 trigger_error 抛出的错误类型符合 在user_error_type 的定义范围才能触发回调函数。
这个值的设置类似于 error_reporting() 函数 。
第一个参数(callbeck functionName):
一个函数名,该函数 可以有 5 个参数,其中前 2 个必选,依次是:
trigger_error 抛出的 user_error_type、trigger_error 抛出的 errorMsg、抛出错误的文件的绝对路劲、抛出错误的行号、抛出错误时的上下文环境 (一个数组,包含了trigger_error() 所在作用域内的所有变量、函数、类等数据 )
回调函数的返回值: 如果返回 false ,系统错误处理机制仍然继续抛出该错误,返回 true 或 无返回值 则消除错误。
trigger_error() 触发的错误不会被 try-catch 异常捕获语句捕获。
您可能感兴趣的文章:
PHP 异常处理相关知识
使用php异常处理类Exception的例子
php中的异常处理、错误的抛出及错误回调函数
一个简单的php自定义异常类
学习PHP错误与异常设置