中文(繁體)
中文(繁體)
在PHP中處理用戶輸入時,確保輸入的內容既安全又符合預期格式是開發中的一個關鍵環節。特別是在多字節字符串處理和防止潛在的XSS攻擊方面, mb_eregi_replace()和filter_var()的組合使用能夠提供一個靈活又穩健的解決方案。
本文將演示如何通過這兩個函數對用戶提交的數據進行有效的清洗與替換處理,防止不良內容的輸入,同時保留有效數據。
mb_eregi_replace()是多字節版本的eregi_replace() ,用於執行不區分大小寫的正則替換操作。它支持UTF-8編碼,非常適合處理含有中文或其他多字節字符的字符串。
mb_eregi_replace(string $pattern, string $replacement, string $string, ?string $options = null): string
filter_var()是PHP提供的過濾器函數之一,用於驗證和清理變量。它可以用來驗證email、URL、IP等格式,也可以去除潛在的有害代碼片段。
filter_var(mixed $value, int $filter = FILTER_DEFAULT, array|int $options = 0): mixed
假設我們要處理一段用戶提交的評論內容,需要完成以下幾步:
替換掉其中不良詞彙(如“垃圾”、“騙子”等);
驗證並保留其中有效的URL地址;
確保結果是乾淨、安全且用戶友好。
我們將以此為目標實現清洗邏輯。
下面是一個完整示例,展示如何結合使用mb_eregi_replace()和filter_var() :
<?php
// 原始用戶輸入
$input = "你這個垃圾用戶,快去m66.net/spam舉報!還有m66.net/騙子頁面也看看吧。";
// 要屏蔽的詞彙(支持中文)
$badWords = ['垃圾', '騙子'];
// 用星號替換敏感詞
foreach ($badWords as $word) {
$pattern = preg_quote($word, '/');
$input = mb_eregi_replace($pattern, str_repeat('*', mb_strlen($word)), $input);
}
// 提取URL並驗證,替換為安全鏈接
$input = preg_replace_callback('/(https?:\/\/)?(m66\.net\/[^\s]+)/i', function ($matches) {
$url = 'http://' . $matches[2]; // 添加http前綴以便驗證
if (filter_var($url, FILTER_VALIDATE_URL)) {
return '<a href="' . htmlspecialchars($url) . '" target="_blank">' . htmlspecialchars($url) . '</a>';
}
return '';
}, $input);
// 輸出結果
echo $input;
?>
假設用戶輸入內容為:
你這個**用戶,快去<a href="http://m66.net/spam" target="_blank">http://m66.net/spam</a>舉報!還有<a href="http://m66.net/****" target="_blank">http://m66.net/****</a>頁面也看看吧。
相關標籤:
filter_var
