php数组安全校验需分三层:先用isset()或!empty()结合is_array()确认存在性与非空性;再用array_keys()、count_recursive等校验结构;最后对元素逐项过滤、类型校验与范围限制。
PHP 中判断数组类型并做安全校验,核心在于区分 array 与其他类型(尤其是 null、string、object),同时避免因类型松散导致的逻辑漏洞或报错。关键不是只用 is_array(),而是结合上下文做“存在性 + 结构性 + 元素安全性”三层校验。
基础类型判断:先确认是数组,再看是否为空
is_array() 是最直接的方式,但它不处理 null 或假值(如空字符串、false)——这些传入后会返回 false,但容易和“非数组”混淆。建议组合使用:
- 用
isset($var) && is_array($var)确保变量已定义且为数组 - 用
!empty($var) && is_array($var)同时排除null、[]、false、0、""等“空值” - 若需允许空数组(如初始化参数),则单独用
is_array($var)即可,后续再检查键/值
结构校验:检查键名、维度与数据一致性
很多安全问题源于“以为是索引数组,实际是关联数组”,或“预期二维,结果嵌套更深”。可借助内置函数快速验证:
-
array_keys($arr) === range(0, count($arr) - 1)判断是否为纯索引数组(注意:仅适用于连续整数键) -
count($arr, COUNT_RECURSIVE) > count($arr)粗略检测是否存在子数组(即是否为多维) - 对关键字段(如
['id', 'name'])用array_key_exists('id', $arr)或isset($arr['id'])显式检查必需键
元素级安全:防止注入、类型混淆与非法值
数组内容才是风险高发区。不能只校验“是不是数组”,还要校验“里面装了什么”:
立即学习“PHP免费学习笔记(深入)”;
- 对用户输入的数组元素(如表单提交的
tags[]),逐项过滤:array_map('trim', array_map('htmlspecialchars', $arr)) - 限制数值类元素范围:
array_filter($arr, fn($v) => is_int($v) && $v > 0 && $v - 禁止危险类型混入:
array_walk($arr, function($v) { if (is_object($v) || is_resource($v)) { throw new InvalidArgumentException('Object/resource not allowed in array'); } });
实战建议:封装可复用的校验函数
把常用逻辑收拢,避免重复写判断。例如:
示例:安全获取非空索引数组function safeIndexedArray($input, $allowEmpty = false): array {
if (!is_array($input)) {
return $allowEmpty ? [] : throw new InvalidArgumentException('Expected array');
}
if (!$allowEmpty && empty($input)) {
throw new InvalidArgumentException('Array cannot be empty');
}
// 强制重置键为连续数字索引
$indexed = array_values($input);
if (count($indexed) !== count($input)) {
throw new InvalidArgumentException('Non-sequential or string keys detected');
}
return $indexed;
} 
