PHP处理表单必须先过滤再验证:过滤清理数据(如trim、htmlspecialchars),验证判断规则(如FILTER_VALIDATE_EMAIL);需组合使用filter_input()源头处理,并配合PDO预处理防SQL注入,输出前用htmlspecialchars()防XSS,另需CSRF token和安全文件上传机制。
PHP处理表单数据时,过滤与验证不是可选项,而是必须执行的安全基础步骤。核心原则是:**所有外部输入都不可信,必须先过滤再验证,最后才使用或存储。**
区分过滤(Filter)和验证(Validate)
过滤是“清理”数据,比如去掉空格、转义特殊字符、强制类型转换;验证是“判断”数据是否符合业务规则,比如邮箱格式是否正确、密码长度是否达标。
常见误区是用 filter_var() 验证邮箱后就直接入库——它只检查格式,不保证邮箱真实存在,也不防SQL注入。
- 过滤常用函数:
filter_var($data, FILTER_SANITIZE_STRING)(PHP 8.1+ 已弃用,建议改用FILTER_SANITIZE_SPECIAL_CHARS或手动处理)、trim()、htmlspecialchars()(输出前防XSS) - 验证常用方式:
filter_var($email, FILTER_VALIDATE_EMAIL)、正则匹配、自定义逻辑(如确认密码两次一致) - 关键点:过滤不等于安全,验证不等于过滤;两者常需组合使用,且顺序不能颠倒
使用 filter_input() 直接从源头过滤
比先取 $_POST 再处理更安全,因为能一步完成来源指定、过滤和默认值设定。
-
$name = filter_input(INPUT_POST, 'name', FILTER_SANITIZE_FULL_SPECIAL_CHARS);—— 自动去HTML标签、转义引号,适合存入数据库或显示 -
$age = filter_input(INPUT_POST, 'age', FILTER_VALIDATE_INT, ['options' => ['min_range' => 1, 'max_range' => 120]]);—— 同时验证整数范围 - 若返回
false或null,说明过滤失败或数据无效,应中止后续流程
结合 PDO 预处理防止 SQL 注入
即使前端和过滤层都做了处理,数据库操作仍必须用预处理语句。过滤后的数据只是“干净”,不代表“安全”——拼接 SQL 字符串仍是高危操作。
立即学习“PHP免费学习笔记(深入)”;
- 错误写法:
"INSERT INTO users (name) VALUES ('" . $name . "') - 正确写法:
$stmt = $pdo->prepare("INSERT INTO users (name) VALUES (?)"); $stmt->execute([$name]); - 注意:预处理不解决 XSS,输出到 HTML 前仍需
htmlspecialchars()
补充:CSRF 和文件上传要单独防护
表单安全不止于数据内容。用户提交的表单可能被伪造(CSRF),上传的文件可能带恶意代码。
- CSRF:生成一次性 token 存入 session 和表单 hidden 字段,提交时比对
- 文件上传:不用
$_FILES['file']['type']判断类型(可伪造),应检查文件头、限制扩展名、重命名文件、存到非 Web 可访问目录 - 敏感操作(如删账号、改密码)建议二次确认,例如输入当前密码或短信验证码
基本上就这些。不复杂但容易忽略的是:过滤和验证要贯穿整个请求生命周期,而不是只在接收时做一次。每一步都少一点侥幸,系统就多一分可靠。
