PHP Filter 函数

封面图 • 2025-12-17 • PHP

PHP 的 **Filter 函数**（Filter Functions）是 PHP 提供的一组用于验证和过滤数据的函数，主要用于安全地处理用户输入，防止注入攻击、恶意数据等。这些函数通常与 `filter_var()` 和 `filter_input()` 一起使用。

---

## 🧠 一、基本概念

### 1. `filter_var()`
- 用途：对单个变量进行过滤或验证。
- 语法：
  ```php
  filter_var($variable, $filter, $options)
  ```
- `$filter` 是一个常量，表示要使用的过滤器类型，如 `FILTER_VALIDATE_EMAIL`、`FILTER_SANITIZE_STRING` 等。
- `$options` 是可选参数，用于设置额外的选项。

### 2. `filter_input()`
- 用途：从外部输入（如 GET、POST、COOKIE 等）中获取并过滤数据。
- 语法：
  ```php
  filter_input($input_type, $variable_name, $filter, $options)
  ```

---

## 🔍 二、常用 Filter 类型

| 过滤器名称 | 说明 |
|------------|------|
| `FILTER_VALIDATE_EMAIL` | 验证电子邮件地址 |
| `FILTER_VALIDATE_URL` | 验证 URL |
| `FILTER_VALIDATE_INT` | 验证整数 |
| `FILTER_VALIDATE_BOOLEAN` | 验证布尔值（"1", "true", "yes", "on", "0", "false", "no", "off"） |
| `FILTER_VALIDATE_FLOAT` | 验证浮点数 |
| `FILTER_SANITIZE_STRING` | 移除 HTML 标签、特殊字符等 |
| `FILTER_SANITIZE_EMAIL` | 移除电子邮件中的非法字符 |
| `FILTER_SANITIZE_URL` | 移除 URL 中的非法字符 |
| `FILTER_SANITIZE_NUMBER_INT` | 移除非数字字符（仅保留整数） |
| `FILTER_SANITIZE_NUMBER_FLOAT` | 移除非数字字符（保留浮点数） |

---

## 💡 三、示例代码

### 示例 1：验证邮箱
```php
$email = "test@example.com";

if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
    echo "有效的邮箱地址";
} else {
    echo "无效的邮箱地址";
}
```

### 示例 2：过滤字符串
```php
$name = "<b>John Doe</b>";
$clean_name = filter_var($name, FILTER_SANITIZE_STRING);
echo $clean_name; // 输出: John Doe
```

### 示例 3：从 $_GET 获取并过滤数据
```php
$page = filter_input(INPUT_GET, 'page', FILTER_VALIDATE_INT);

if ($page === false) {
    echo "无效的页面编号";
} else {
    echo "页面编号: " . $page;
}
```

### 示例 4：使用 options 设置额外参数
```php
$url = "https://example.com";
$filtered_url = filter_var($url, FILTER_VALIDATE_URL, [
    'flags' => FILTER_FLAG_HOST_REQUIRED
]);

if ($filtered_url === false) {
    echo "无效的 URL";
} else {
    echo "有效的 URL";
}
```

---

## ⚠️ 四、注意事项

- **不要依赖单一过滤器**，应结合多种方法进行安全验证。
- 使用 `filter_var()` 或 `filter_input()` 后，仍需对数据进行逻辑判断和业务规则校验。
- 对于敏感操作（如数据库查询），应使用预处理语句（PDO 或 mysqli）而不是直接拼接 SQL。

---

## ✅ 五、总结

| 功能 | 函数 | 说明 |
|------|------|------|
| 验证数据 | `filter_var()` / `filter_input()` | 检查数据是否符合某种格式 |
| 过滤数据 | `filter_var()` / `filter_input()` | 清理数据，移除非法字符 |
| 处理外部输入 | `filter_input()` | 安全获取 GET、POST、COOKIE 等数据 |

---

如果你有具体的使用场景或需要进一步了解某个过滤器，可以告诉我，我可以提供更详细的解释或示例！

PHP Filter 函数