输入验证和过滤：filter_var,filter_input,htmlentities

输入验证和过滤是在开发网站或应用程序时非常重要的一部分，它可以帮助我们确保用户输入的数据是有效和安全的。本文将介绍三个常用的 PHP 函数：filter_var，filter_input 和 htmlentities。

1. filter_var

filter_var 函数用于验证和过滤一个指定的变量，可以根据指定的验证规则对变量进行验证。它可以验证各种类型的变量，例如整数、字符串、URL、电子邮件等。

以下是 filter_var 函数的基本使用：

$var = "example@gmail.com";

if (filter_var($var, FILTER_VALIDATE_EMAIL)) {
    echo "有效的邮箱地址";
} else {
    echo "无效的邮箱地址";
}

上述代码中，我们使用 FILTER_VALIDATE_EMAIL 常量来验证一个邮箱地址。如果验证通过，则输出“有效的邮箱地址”，否则输出“无效的邮箱地址”。filter_var 还可以用来过滤变量，例如过滤 HTML 标签：

$var = "<h1>Hello World</h1>";

$filtered_var = filter_var($var, FILTER_SANITIZE_STRING);

echo $filtered_var; // 输出：Hello World

在上述代码中，我们使用 FILTER_SANITIZE_STRING 常量来过滤 HTML 标签，然后输出过滤后的变量。

2. filter_input

filter_input 函数用于从外部输入中获得一个输入变量，并根据指定的验证规则进行验证。它可以获取各种类型的输入变量，例如 GET、POST、COOKIE 等。

以下是 filter_input 函数的基本使用：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

if ($username) {
    echo "用户名为：" . $username;
} else {
    echo "用户名无效";
}

上述代码中，我们使用 filter_input 函数来从 POST 请求中获取一个名为“username”的输入变量，并使用 FILTER_SANITIZE_STRING 常量来过滤 HTML 标签。然后，我们通过检查 $username 的值是否存在来确定变量是否有效。

3. htmlentities

htmlentities 函数用于将字符串中的特殊字符转换为 HTML 实体，可以很好地防止 XSS 攻击。

以下是 htmlentities 函数的基本使用：

$string = "Hello <script>alert('XSS')</script>";

$encoded_string = htmlentities($string);

echo $encoded_string; // 输出：Hello &lt;script&gt;alert('XSS')&lt;/script&gt;

在上述代码中，我们使用 htmlentities 函数将字符串中的特殊字符进行转义，然后输出转义后的字符串。这样做可以确保字符串中的特殊字符不会被解释为 HTML 标签或 JavaScript 代码。

输入验证和过滤是编写安全和高效代码的关键步骤。filter_var、filter_input 和 htmlentities 这三个 PHP 函数为我们提供了简单而有效的工具来实现这一点。为了保护用户数据的安全，我们应该始终对用户输入进行验证和过滤。