所有的外部輸入參數都應該檢查合法性。
未正確處理輸入數據將可能導致sql注入等漏洞。
框架提供系列函數來取$_REQUEST中的值
requestInt
requestString
requestFloat
requestBool
ps:注意$_REQUEST中變量類型可能會是數組
如請求為 ?i[]=1,那麼$_REQUEST['i'] 的值為array(1)
做校驗的時候要考慮全面以防止php warning信息洩露
另外再介紹一下kv json格式的數據校驗。
有時為了在項目中保留一定擴展性,會使用json格式的數據,這種數據又該如何校驗呢。
//校驗鍵值形式{k1:v1, k2:v2, k3:v3 ...}的json數據,可以對每一對kv進行校驗
requestKvJson
部分實現代碼
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58
//校驗整數,失敗返回$default
function checkInt($var, $default = 0) {
return is_numeric($var) ? intval($var, (strncasecmp($var, '0x', 2) == 0 || strncasecmp($var, '-0x', 3) == 0) ? 16 : 10) : $default;
}
//校驗字符串 $check為正則表達式
function checkString($var, $check = '', $default = '') {
if (!is_string($var)) {
if(is_numeric($var)) {
$var = (string)$var;
}
else {
return $default;
}
}
if ($check) {
return (preg_match($check, $var, $ret) ? $ret[1] : $default);
}
return $var;
}
/*
校驗kv json,
如果想要一個這樣的數據{id:1, 'type':'single_text', 'required': true, 'desc':'this is a text'}
那麼$desc可以這樣寫
array(
array('id', 'Int'),
array('type', 'string', PATTERN_NORMAL_STRING),
array('required', 'Bool', false),
array('desc', 'string', PATTERN_NORMAL_STRING),
))
*/
function checkKvJson($var, $desc = array()) {
if(is_string($var)) {
$var = json_decode($var, true);
}
if(!$var || !is_array($var)) {
return array();
}
if($desc)
foreach($desc as $d) {
if(!isset($var[$d[0]])) {
return array();
}
$ps = array_slice($d, 2);
array_unshift($ps, $var[$d[0]]);
$var[$d[0]] = call_user_func_array('check'.$d[1], $ps);
if($var[$d[0]] === false && strcasecmp($d[1], 'Bool')) {
return array();
}
}
return $var;
}
