Фильтрация ввода в PHP встроенными функциями

Функции фильтрации PHP, скорее всего, не являются будоражащим сознание артефактом, но они помогают улучшить стабильность, безопасность и внутреннюю структуру кода, если ими правильно пользоваться.

В данном уроке мы разберемся, почему проверка ввода имеет важное значение и зачем использовать встроенные функции PHP для выполнения тестов. А затем рассмотрим несколько примеров и обсудим их потенциальные недостатки.

Почему проверка ввода имеет важное значение

Проверка ввода является одним из важных пунктов обеспечения безопасности кода, так как ввод является той частью приложения, которая не подчиняется непосредственному контролю со стороны разработчика. А раз нельзя контролировать, значить нельзя и доверять.

К сожалению, разработчики часто пишут код опираясь только на свои представления о том, как он будет работать. В картину не включается то, как кто-то будет использовать приложение опираясь на любопытство, разгильдяйство или злой умысел. Поэтому проверка ввода является первой ступенью к тому, чтобы ваш код выполнялся так, как задумывалось разработчиком.

Если вы перешли к использованию PHP от другого языка программирования, то у вас вполне могут возникнуть рассуждения: "Зачем заботиться о проверке ввода пользователя?" Но PHP является языком программирования с достаточно свободным синтаксисом. Такое положение делает его отличным инструментом. Но платой за великолепные возможности является трудность контроля данных, потому что практически все можно преобразовать одно в другое.

Почему важно использовать встроенные методы

Для упрощения проверки данных начиная с версии PHP 5.2.0 можно использовать функции filter_input() и filter_var().

Если вы будете использовать свои методы проверки, то потенциально есть вероятность попасть в ловушку при разработке остального функционала приложения: вы будете размышлять о граничных случаях, и есть вероятность упустить другие векторы, которые могут маскировать неправильный ввод. Кроме того, при поддержке кода собственные методы потребуют отдельного изучения, так как нужно будет разобраться в реализованных правилах проверки. Поэтому время будет тратиться на изучения внутренней документации и кода, а не на разработку приложения.

Некоторые разработчики полагаются на решения третьей стороны. Например, для проверки можно использовать OWASP ESAPI. Такой подход лучше самостоятельного решения, так как сторонний код уже просмотрен и протестирован в нескольких других местах. Но придется тратить время на изучение документации и включать в свой проект код третьей стороны.

Поэтому, использование встроенных функций может оказаться лучшим решением. Они встроены в язык программирования и все описания для них уже находятся в документации PHP. Новые участники проекта наверняка будут иметь опыт использования таких функций. А в результате получится более простая поддержка приложения.

Несколько примеров

Функция filter_input() появилась в PHP 5.2.0 и позволяет получать внешние переменные и фильтровать их. Очень удобная при работе с данными $_GET и $_POST.

Рассмотрим пример простой страницы, которая читает переданные значения из URL и обрабатывает их. Нам известно, что значения должны быть целым числом в интервале от 15 до 20.

Можно сделать так:

<?php
if (isset($_GET["value"])) {
    $value = $_GET["value"];
}
else {
    $value = false;
}
if (is_numeric($value) && ($value >= 15 && $value <= 20)) {
    // Выполняем обработку данных
}
else {
    // Обрабатываем ошибку
}

Простой пример, который потребовал достаточно много строк кода.

Во-первых, нужно быть уверенным, что $_GET установлена. Код выполняет соответствующую проверку, чтобы скрипт мог продолжать работать.

Во-вторых, переменная $value содержит "грязные” данные, так как получает их непосредственно из значения $_GET. Нужно выполнить проверку, чтобы можно было использовать $value без риска обрушить все приложение.

Такую проверку пройдет и число 16, так  как функция is_numeric() выдаст true.

И в завершение нужно добавить немного логики для  определения попадания числа в интервал.

Сравните выше приведенный код с таким:

<?php
$value = filter_input(INPUT_GET, "value", FILTER_VALIDATE_INT,
    array("options" => array("min_range" => 15, "max_range" => 20)));
if ($value) {
    // Выполняем обработку данных
}
else {
    // Обрабатываем ошибку
}

filter_input() обрабатывает значение $_GET. Нет нужды беспокоиться о том, чтобы скрипт  получил корректное значение.

Также выполняется проверка  $value перед использованием.

Логика приложения сократилась. Нужно только проверить истинность возвращаемого значения (filter_input() возвращает false, если проверка не прошла, или $_GET["value"] не установлена).

Удобная функция для использования в простых скриптах, чтобы получать данные из $_GET или $_POST, но как быть с классами или функциями? Для таких задач есть функция filter_var().

Функция filter_var() была введена одновременно вместе с функцией filter_input() и имеет такой же функционал.

<?php
// Пример простой функции. Не используйте ее для отправки писем!
function emailUser($email) {
    mail($email, "Письмо", "Содержание");
}

Опасность здесь заключается в том, что ничто не останавливает функцию  mail() перед отправкой письма по любому значению, которое хранится в переменной $email. При таких попытках произойти может все, что угодно по самому плохому сценарию.

Гораздо более безопасный вариант:

<?php
// Простая функция. Не нужно использвоать ее для отправки писем в реальных приложениях!
function emailUser($email) {
    $email = filter_var($email, FILTER_VALIDATE_EMAIL);
    if ($email !== false) {
        mail($email, "Письмо", "Содержание");
    }
    else {
        // Обработка ошибки адреса
    }
}

Глядя на выше приведенные примеры, можно решить, что filter_var() или filter_input() используются только для простых проверок. Но в арсенале данных функций есть фильтр FILTER_CALLBACK.

FILTER_CALLBACK позволяет передавать переменные ввода в функции, которые будут выполнять фильтрацию по любой логике. Такой подход открывает неограниченные возможности для использования функций фильтрации.

Некоторые потенциальные недостатки

Данные функции являются отличным инструментом, позволяющим реализовать мощную фильтрацию данных. Но у них есть недостатки, на которых нужно акцентировать внимание.

Основной недостаток заключается в том, что функции работают в очень сильной зависимости от фильтров, которые используются для них. Посмотрим на последний пример - фильтр FILTER_VALIDATE_EMAIL изменялся при переходе от версии 5.2.14 к 5.3.3, и есть email адреса, которые являются технически корректными для фильтра, но ущербными для использования. поэтому надо хорошо представлять себе принцип работы исопользуемого фильтра.

Второй недостаток заключается в том, что использование фильтров создает иллюзию безопасности кода. Фильтрация переменных помогает существенно улучшить приложение, но не дает 100% гарантии от неприятностей. 

• Комментарии