在Web開發過程中,我們經常需要擷取系統變量或者使用者送出的資料,這些變量資料錯綜複雜,而且一不小心就容易引起安全隐患,但是如果利用好ThinkPHP提供的變量擷取功能,就可以輕松的擷取和駕馭變量了。
擷取變量
雖然你仍然可以在開發過程中使用傳統方式擷取各種系統變量,例如:
-
$id = $_GET['id']; // 擷取get變量
-
$name = $_POST['name']; // 擷取post變量
-
$value = $_SESSION['var']; // 擷取session變量
-
$name = $_COOKIE['name']; // 擷取cookie變量
-
$file = $_SERVER['PHP_SELF']; // 擷取server變量
但是我們不建議直接使用傳統方式擷取,因為沒有統一的安全處理機制,後期如果調整的話,改起來會比較麻煩。是以,更好的方式是在架構中統一使用I函數進行變量擷取和過濾。
I方法是ThinkPHP用于更加友善和安全的擷取系統輸入變量,可以用于任何地方,用法格式如下:
I('變量類型.變量名/修飾符',['預設值'],['過濾方法'],['額外資料源'])
變量類型是指請求方式或者輸入類型,包括:
| 變量類型 | 含義 |
|---|---|
| get | 擷取GET參數 |
| post | 擷取POST參數 |
| param | 自動判斷請求類型擷取GET、POST或者PUT參數 |
| request | 擷取REQUEST 參數 |
| put | 擷取PUT 參數 |
| session | 擷取 $_SESSION 參數 |
| cookie | 擷取 $_COOKIE 參數 |
| server | 擷取 $_SERVER 參數 |
| globals | 擷取 $GLOBALS參數 |
| path | 擷取 PATHINFO模式的URL參數(3.2.2新增) |
| data | 擷取 其他類型的參數,需要配合額外資料源參數(3.2.2新增) |
注意:變量類型不區分大小寫。
變量名則嚴格區分大小寫。
預設值和過濾方法均屬于可選參數。
變量修飾符是3.2.3版本新增
我們以GET變量類型為例,說明下I方法的使用:
-
echo I('get.id'); // 相當于 $_GET['id']
-
echo I('get.name'); // 相當于 $_GET['name']
支援預設值:
-
echo I('get.id',0); // 如果不存在$_GET['id'] 則傳回0
-
echo I('get.name',''); // 如果不存在$_GET['name'] 則傳回空字元串
采用方法過濾:
-
// 采用htmlspecialchars方法對$_GET['name'] 進行過濾,如果不存在則傳回空字元串
-
echo I('get.name','','htmlspecialchars');
支援直接擷取整個變量類型,例如:
-
// 擷取整個$_GET 數組
-
I('get.');
用同樣的方式,我們可以擷取post或者其他輸入類型的變量,例如:
-
I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法對$_POST['name'] 進行過濾,如果不存在則傳回空字元串
-
I('session.user_id',0); // 擷取$_SESSION['user_id'] 如果不存在則預設為0
-
I('cookie.'); // 擷取整個 $_COOKIE 數組
-
I('server.REQUEST_METHOD'); // 擷取 $_SERVER['REQUEST_METHOD']
param變量類型是架構特有的支援自動判斷目前請求類型的變量擷取方式,例如:
echo I('param.id');
如果目前請求類型是GET,那麼等效于 $_GET['id'],如果目前請求類型是POST或者PUT,那麼相當于擷取 $_POST['id'] 或者 PUT參數id。
由于param類型是I函數預設擷取的變量類型,是以事實上param變量類型的寫法可以簡化為:
-
I('id'); // 等同于 I('param.id')
-
I('name'); // 等同于 I('param.name')
3.2.2新增了
path和data兩個變量類型
,用法如下:
path類型變量可以用于擷取URL參數(必須是PATHINFO模式參數有效,無論是GET還是POST方式都有效),例如: 目前通路URL位址是
http://serverName/index.php/New/2013/06/01
那麼我們可以通過
-
echo I('path.1'); // 輸出2013
-
echo I('path.2'); // 輸出06
-
echo I('path.3'); // 輸出01
data類型變量可以用于擷取不支援的變量類型的讀取,例如:
-
I('data.file1','','',$_FILES);
變量過濾
如果你沒有在調用I函數的時候指定過濾方法的話,系統會采用預設的過濾機制(由DEFAULT_FILTER配置),事實上,該參數的預設設定是:
-
// 系統預設的變量過濾機制
-
'DEFAULT_FILTER' => 'htmlspecialchars'
也就說,I方法的所有擷取變量如果沒有設定過濾方法的話都會進行htmlspecialchars過濾,那麼:
-
// 等同于 htmlspecialchars($_GET['name'])
-
I('get.name');
同樣,該參數也可以設定支援多個過濾,例如:
-
'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'
設定後,我們在使用:
-
// 等同于 htmlspecialchars(strip_tags($_GET['name']))
-
I('get.name');
如果我們在使用I方法的時候 指定了過濾方法,那麼就會忽略DEFAULT_FILTER的設定,例如:
-
// 等同于 strip_tags($_GET['name'])
-
echo I('get.name','','strip_tags');
I方法的第三個參數如果傳入函數名,則表示調用該函數對變量進行過濾并傳回(在變量是數組的情況下自動使用
array_map
進行過濾處理),否則會調用PHP内置的
filter_var
方法進行過濾處理,例如:
-
I('post.email','',FILTER_VALIDATE_EMAIL);
表示 會對
$_POST['email']
進行 格式驗證,如果不符合要求的話,傳回空字元串。 (關于更多的驗證格式,可以參考 官方手冊的
filter_var
用法。) 或者可以用下面的字元辨別方式:
-
I('post.email','','email');
可以支援的過濾名稱必須是
filter_list
方法中的有效值(不同的伺服器環境可能有所不同),可能支援的包括:
-
int
-
boolean
-
float
-
validate_regexp
-
validate_url
-
validate_email
-
validate_ip
-
string
-
stripped
-
encoded
-
special_chars
-
unsafe_raw
-
email
-
url
-
number_int
-
number_float
-
magic_quotes
-
callback
3.2.3版本開始支援進行正則比對過濾,例如:
-
// 采用正規表達式進行變量過濾
-
I('get.name','','/^[A-Za-z]+$/');
-
I('get.id',0,'/^\d+$/');
如果正則比對不通過的話,則傳回預設值。
在有些特殊的情況下,我們不希望進行任何過濾,即使DEFAULT_FILTER已經有所設定,可以使用:
-
// 下面兩種方式都不采用任何過濾方法
-
I('get.name','','');
-
I('get.id','',false);
一旦過濾參數設定為空字元串或者false,即表示不再進行任何的過濾。
變量修飾符
3.2.3版本開始,I函數支援對變量使用修飾符功能,可以更好的過濾變量。
用法如下: I('變量類型.變量名/修飾符');
例如:
-
I('get.id/d');
-
I('post.name/s');
-
I('post.ids/a');
可以使用的修飾符包括:
| 修飾符 | 作用 |
|---|---|
| s | 強制轉換為字元串類型 |
| d | 強制轉換為整形類型 |
| b | 強制轉換為布爾類型 |
| a | 強制轉換為數組類型 |
| f | 強制轉換為浮點類型 |