我传统上使用filter_var()函数对 $_GET 和 $_POST 数据进行净化,例如:
$foo = filter_var($_GET['foo'], FILTER_SANITIZE_NUMBER_INT);
但是 PHP 也有一个函数 filter_input(),它有不同的语法来实现同样的功能:
$foo = filter_input(INPUT_GET, 'foo', FILTER_SANITIZE_NUMBER_INT);
这些只是同义词吗?使用它们有什么优势吗?
我查了手册,但没看到很大的区别(只有报告错误的方式/是否)。从语义/最佳实践的角度来看,哪个更合理?
它们之间的主要区别之一是它们如何处理未定义的变量/索引。如果$_GET['foo']不存在:
$foo = filter_var($_GET['foo'], FILTER_SANITIZE_NUMBER_INT);
""并生成以下内容:
因此,通常需要将其包装在注意:未定义的索引:foo
if(isset($_GET['foo']))中。$foo = filter_input(INPUT_GET, 'foo', FILTER_SANITIZE_NUMBER_INT);
返回NULL并且不会生成错误。
注意:函数filter_input不会操作当前的$_GET和$_POST超全局变量,而是已经预填充并独立于这些数组。
如果在脚本中创建了$_GET['foo']但它不存在,则filter_input将无法看到它:
$_GET['foo'] = 1;
$foo = filter_input(INPUT_GET, 'foo', FILTER_SANITIZE_NUMBER_INT);
将返回null。
isset() 检查吗?正如我在之前的评论中提到的,为什么 PHP 的开发者们要费心去写一个带有不同语法的额外函数,而只为了这样微不足道的好处呢?这并不是一个反问句,但我不知道是否有一个简单的答案... - Sablefostefilter_input。因为只需要知道一种语法类型比更短但是特殊情况代码更清晰(对我来说)。感谢您的回答!;) - Sablefostefilter_input 可以用于既进行验证又进行清理吗?我尝试使用清理过滤器,但似乎没有成功。 - Hashim Aziz
filter_var可以接受任何变量,所以您必须自己检查未定义的变量错误。相反,filter_input使用$_GET、$_POST、$_COOKIE、$_ENV或$_SERVER的原始值,这意味着对这些变量所做的任何修改都不会被考虑在内。参见 https://secure.php.net/manual/en/function.filter-input.php#115086。 - Charlotte Dunois