PHP-Filter für den Eigengebrauch

Teil 2: Sicherheit bei PHP: Bereinigen von Daten durch eine Web-Applikation

Das assoziative Array wird zum Beispiel wie folgt definiert:

$filter = array(
"name" => array(
"filter"=>FILTER_SANITIZE_STRING,
"flags"=>FILTER_FORCE_ARRAY,
"options"=>"ucwords" ),
"alter" => array(
filter"=>FILTER_VALIDATE_INT,
"options"=>array(
"min_range"=>1,
"max_range"=>120) ),
"email"=> FILTER_VALIDATE_EMAIL, );

Beim Aufruf der Filterfunktion filter_input_array() muss die Eingabequelle und das soeben erstellte Array angegeben werden:

print_r(filter_input_array(INPUT_POST,
$filter));

Der obige Code liefert im Erfolgsfalle Daten aus dem Web-Formular (INPUT_POST) in unveränderter Form zurück, zum Beispiel:

Array ( [name] => Klaus Meier [alter]
=> 16 [email] => klaus@meier.de )

Besitzt ein Element der Eingabe einen ungültigen Wert, liefert filter_input_array() einfach den Rückgabewert FALSE.

Das Resultat der Validierung kann dann auch etwa wie folgt ausgewertet werden:

$resultat = filter_input_array(INPUT_
POST, $filter);
if (!$resultat["alter"]) {
echo("Das Alter muss zwischen 1 und
120 liegen.<br />");
}
elseif(!$result["email"]) {
echo("Diese E-Mail-Adresse ist
ungültig.<br />"); }
else { echo("Angaben korrekt"); }

Zum Überprüfen einer beliebigen einzelnen Variablen dient die Funktion filter_var(), zum Beispiel:

var_dump(filter_var('beispiel.de',
FILTER_VALIDATE_URL, FILTER_FLAG_SCHEME_REQUIRED));

Um mehrere Variablen aus dem Skript gleichzeitig zu validieren, verwendet man die Funktion filter_var_array().

Validieren von Formular-Daten

Beim Erfassen der Eingabe aus einem Web-Formular gilt es im ersten Schritt zu überprüfen, ob die benötigten Daten überhaupt gesendet wurden. Erst im nächsten Schritt wird die Eingabe mithilfe der Funktion filter_input() gefiltert. Der benötigte Quelltext ist eine [u]if/else[/u]-Schleife wie diese:

if(!filter_has_var(INPUT_POST,
"email")) {
echo("Quelle existiert nicht."); }
else { if (!filter_input(INPUT_POST,
"email", FILTER_VALIDATE_EMAIL)) {
echo "E-Mail-Adresse ungültig."; }
else { echo "E-Mail-Adresse okay"; }
}

Der if-Abschnitt der ersten Schleife handhabt das Fehlen der benötigten Eingabequelle. Nur wenn die Eingabequelle existiert, macht es Sinn, die Daten an einen Validierungsfilter zu übergeben.

Validieren von Integern

Zum Filtern von Integer-Variablen übergibt man den Filter FILTER_VALIDATE_INT an die Funktion filter_var():

Sicherheit bei PHP

© Archiv

Ein kostenloses Online-Tool zum Analysieren und Entwickeln von regulären Ausdrücken (gskinner.com/RegExr/).
filter_var($int, FILTER_VALIDATE_INT);

Der folgende Code

$int = '1234';
echo filter_var($int, FILTER_VALI
DATE_INT);

gibt den Wert 1234 aus, weil die Eingabe als gültiger Integer validiert werden konnte. Ändert man die Eingabe auf einen ungültigen Wert ab, liefert die Funktion bool(false) zurück. Gleiches gilt, falls der Variable ein leerer Wert zugewiesen wurde. Zusätzlich zur Prüfung, ob es sich bei der Eingabe um einen Integer handelt, muss oft auch eine Bereichsprüfung stattfinden. Die Optionen werden hierbei zum Beispiel wie folgt definiert:

$int_options = array(
"options"=>array( "min_range"=>0,
"max_range"=>256 ) );

Mehr zum Thema

HTML5: Quick Reference Guide
Ratgeber: "HTML5"

Die wichtigsten Tags auf einen Blick: In unserem praktischen Arbeitsblatt finden Sie einen wertvollen Begleiter für die Umstellung Ihrer Webprojekte…
internet, webdesign, google, content, ranking, seo, suchmaschine
Ratgeber: Urheberrecht

Einzigartige Inhalte bieten Lesern Mehrwert und sind ein wichtiges Qualitätsmerkmal. Ärgerlich, wenn sich jemand durch Kopieren an fremden…
Die besten HTML5-Tipps
Neue Tipps & Tricks für blitz.io

Wer die Leistung einer Applikation ermitteln möchte, braucht keine Skripte zu schreiben, sondern kann einen der zahlreichen Online-Dienste…
image.jpg
Ratgeber: Webentwicklung

Die clientseitige Javascript-Entwicklung bietet fast keine Entwicklungsumgebungen und auch keine vernünftigen Werkzeuge zur Fehlersuche. Eine der…
internet, webdesign, meteor, webapplikationen
Ratgeber

Mit Meteor sollen Entwickler in kurzer Zeit Umgebungen für Webapplikationen erstellen können, ohne sich um lästige Details kümmern zu müssen. Wir…