Français
Français
Le filtrage des données est une tâche très importante pendant le développement de PHP. Le filtrage des données peut effectivement empêcher les risques de sécurité tels que les attaques malveillantes, la falsification des données et l'injection de données. Cet article introduira certaines méthodes de filtrage de données couramment utilisées et donnera des exemples de code spécifiques.
Le filtrage des entrées fait référence à la vérification et au nettoyage des données saisies par les utilisateurs pour prévenir les entrées malveillantes ou la soumission de données non valides. Voici plusieurs méthodes de filtrage d'entrée courantes:
La vérification frontale fait référence à la vérification des données via JavaScript et d'autres méthodes avant que l'utilisateur ne la soumette. Cette méthode de vérification peut améliorer l'expérience utilisateur et réduire le fardeau du serveur. Par exemple, pour les données de formulaire soumises par les utilisateurs, vous pouvez utiliser des expressions régulières pour vérifier si le format de l'entrée répond aux exigences.
Voici un exemple d'utilisation de JavaScript pour vérifier le format de la boîte aux lettres:
<form action="submit.php" method="post">
<input type="email" name="email" id="email" required>
<input type="submit" value="soumettre">
</form>
<script>
document.getElementById('email').addEventListener('input', function() {
var value = this.value;
var regex = /^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,4}$/;
if (!regex.test(value)) {
this.setCustomValidity('S'il vous plaît, mettez une adresse email valide');
} else {
this.setCustomValidity('');
}
});
</script>
La vérification back-end fait référence à la vérification et au filtrage des données du côté serveur. Cette méthode de vérification est le moyen le plus fiable car les utilisateurs ne peuvent pas contourner les mesures de vérification côté serveur. Voici plusieurs méthodes de vérification backend couramment utilisées:
PHP fournit une fonction filter_var pour le filtrage et la validation des données. La méthode d'utilisation spécifique est la suivante:
$ email = $ _post ['e-mail'];
if (filter_var ($ e-mail, filter_validate_email)) {
// La vérification du format par e-mail est passé} else {
// Vérification du format par e-mail a échoué}
Des expressions régulières peuvent être utilisées pour effectuer une vérification avancée et un filtrage des chaînes. Voici un exemple d'utilisation des expressions régulières pour vérifier les numéros de téléphone portable:
$ phone = $ _post ['phone'];
$ Pattern = '/ ^ 1 [3456789] \ D {9} $ /';
if (preg_match ($ motif, $ téléphone)) {
// Le numéro de téléphone mobile est vérifié} else {
// La vérification du numéro de téléphone mobile a échoué}
Le filtrage de sortie fait référence au nettoyage et à l'échappement des données avant de les sortir à l'extrémité avant pour empêcher les attaques XSS. Voici plusieurs méthodes de filtrage de sortie courantes:
La fonction HTMLSpecialCars peut échapper aux caractères spéciaux en entités HTML, les empêcher d'être considérés comme du code HTML et d'être analysés et exécutés par le navigateur. La méthode d'utilisation spécifique est la suivante:
$ name = ' <script>alert("XSSattaque")</script> ';;
echo htmlSpecialChars ($ name);
La fonction HTMLentities peut échapper aux caractères spéciaux en entités HTML, similaires à la fonction HTMLSpecialCars. La différence est que la fonction HTMLentities s'échappe des caractères plus spéciaux en entités et peut spécifier le codage des caractères. La méthode d'utilisation spécifique est la suivante:
$ name = ' <script>alert("XSSattaque")</script> ';;
echo htmlentities ($ name, ent_quotes, 'utf-8');
En plus des exemples ci-dessus, il existe de nombreuses autres méthodes de filtrage de données, telles que le filtrage des paramètres d'URL, le filtrage du code HTML en utilisant des expressions régulières, etc. Il est très important de choisir la bonne méthode de filtrage de données pour différentes situations et besoins.
Cet article présente plusieurs méthodes courantes pour implémenter les fonctions de filtrage de données dans le développement de PHP, notamment le filtrage des entrées et le filtrage de sortie. Le filtrage d'entrée peut être réalisé par vérification frontale et vérification back-end. Le premier améliore l'expérience utilisateur, tandis que le second est plus fiable. Le filtrage de sortie est principalement pour empêcher les attaques XSS, les caractères spéciaux peuvent être effectivement échappés à l'aide de fonctions htmlSpecialChars et Htmlentities. Dans le processus de développement réel, il est très important de choisir la méthode de filtrage des données appropriée en fonction de la situation spécifique pour assurer la sécurité et la stabilité du système.
