在PHP中，我們經常會涉及到數據過濾和校驗的操作，而這些操作往往是決定應用程序安全性的關鍵。為了解決這類問題，PHP內置了filter_input()函數，它可以用來過濾和校驗來自外部來源的數據。本文將詳細講解filter_input()函數的使用方法和相關注意事項。 filter_input()函數有兩個必要參數，分別是輸入類型和變量名稱。輸入類型指示了要過濾哪一類輸入，可取的值包括： - INPUT_GET：從$_GET中獲取變量 - INPUT_POST：從$_POST中獲取變量 - INPUT_COOKIE：從$_COOKIE中獲取變量 - INPUT_ENV：從$_ENV中獲取變量 - INPUT_SERVER：從$_SERVER中獲取變量 - INPUT_SESSION：從$_SESSION中獲取變量 假設我們要過濾一個請求URL中包含的“id”參數，代碼如下：

$id = filter_input(INPUT_GET, "id", FILTER_VALIDATE_INT);

在上面的代碼中，“id”參數是從$_GET中獲取的，過濾器類型是FILTER_VALIDATE_INT，表示輸入必須為整數類型。如果過濾失敗，$id的值會變成false。 需要注意的是，如果過濾失敗，filter_input()函數的返回值會是false，而不是空字符串或null。這點與filter_var()函數不同。 除了必選參數外，filter_input()函數還可以接受一些可選參數，包括： - filter: 過濾器類型，用于指定過濾的方式； - options:選項數組，用于傳遞特定過濾器的選項； - flags: 過濾器標志，可以用于修改過濾器的行為。 比如，我們可以使用filter_input()函數對一個從HTML表單中傳遞過來的電子郵件地址進行過濾和校驗：

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
if ($email === false) {
echo '無效的電子郵件地址';
} else {
echo '電子郵件地址為：' . $email;
}

在這個例子中，我們使用了FILTER_VALIDATE_EMAIL過濾器，它可以驗證輸入是否為一個合法的電子郵 件地址。如果輸入不合法，則返回false。 除了 filter_input()函數，PHP還提供了filter_var()函數，它可以用來通過指定過濾器對任意變量進行過濾，函數的語法如下：

filter_var ( mixed $variable , int $filter = FILTER_DEFAULT , array $options = array() ) : mixed

和filter_input()函數類似，filter_var()函數也有兩個必要參數，分別是要過濾的變量和過濾器類型。可選參數options和flags與filter_input()的類似。 下面是一個使用filter_var()函數的例子，它檢查一個字符串是否包含HTML標簽：

$html = '
你好，世界！
';
$stripped = filter_var($html, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH | FILTER_FLAG_STRIP_LOW);
echo $stripped;

在上面的例子中，我們使用了FILTER_SANITIZE_STRING過濾器，它可以刪除字符串中的HTML標簽。flags參數用于指定一些額外的選項，比如FILTER_FLAG_STRIP_HIGH參數表示同時刪除高位ASCII字符。結果輸出為“你好，世界！”字符串。 在使用過濾器時需要注意一些事項： - 使用正確的過濾器類型； - 設置正確的選項； - 選擇恰當的標志（如必要時禁用default標志）。 總結來說，filter_input()和filter_var()是PHP內置的非常有用的函數，它們可以幫助我們輕 松過濾和校驗用戶輸入的數據，同時增強應用程序的安全性和穩定性。