Remember to trim() the $_POST before your filters are applied:
<?php
// We trim the $_POST data before any spaces get encoded to "%20"
// Trim array values using this function "trim_value"
function trim_value(&$value)
{
$value = trim($value); // this removes whitespace and related characters from the beginning and end of the string
}
array_filter($_POST, 'trim_value'); // the data in $_POST is trimmed
$postfilter = // set up the filters to be used with the trimmed post array
array(
'user_tasks' => array('filter' => FILTER_SANITIZE_STRING, 'flags' => !FILTER_FLAG_STRIP_LOW), // removes tags. formatting code is encoded -- add nl2br() when displaying
'username' => array('filter' => FILTER_SANITIZE_ENCODED, 'flags' => FILTER_FLAG_STRIP_LOW), // we are using this in the url
'mod_title' => array('filter' => FILTER_SANITIZE_ENCODED, 'flags' => FILTER_FLAG_STRIP_LOW), // we are using this in the url
);
$revised_post_array = filter_var_array($_POST, $postfilter); // must be referenced via a variable which is now an array that takes the place of $_POST[]
echo (nl2br($revised_post_array['user_tasks'])); //-- use nl2br() upon output like so, for the ['user_tasks'] array value so that the newlines are formatted, since this is our HTML <textarea> field and we want to maintain newlines
?>
Очищающие фильтры
| Идентификатор | Имя | Флаги | Описание |
|---|---|---|---|
FILTER_SANITIZE_EMAIL |
"email" |
Удаляет символы, кроме букв, цифр и символов
!#$%&'*+-=?^_`{|}~@.[].
|
|
FILTER_SANITIZE_ENCODED |
"encoded" |
FILTER_FLAG_STRIP_LOW,
FILTER_FLAG_STRIP_HIGH,
FILTER_FLAG_STRIP_BACKTICK,
FILTER_FLAG_ENCODE_LOW,
FILTER_FLAG_ENCODE_HIGH
|
Кодирует строку в формат URL, и, если нужно, удаляет или кодирует специальные символы. |
FILTER_SANITIZE_MAGIC_QUOTES |
"magic_quotes" |
Применяет функцию addslashes().
(УСТАРЕЛА с PHP 7.3.0 и
УДАЛЕНА с PHP 8.0.0,
вместо неё указывают
FILTER_SANITIZE_ADD_SLASHES.)
|
|
FILTER_SANITIZE_ADD_SLASHES |
"add_slashes" | Применяет функцию addslashes(). (Доступно с PHP 7.3.0.) | |
FILTER_SANITIZE_NUMBER_FLOAT |
"number_float" |
FILTER_FLAG_ALLOW_FRACTION,
FILTER_FLAG_ALLOW_THOUSAND,
FILTER_FLAG_ALLOW_SCIENTIFIC
|
Удаляет символы, кроме цифр, +- и если нужно,
то и .,eE.
|
FILTER_SANITIZE_NUMBER_INT |
"number_int" | Удаляет символы, кроме цифр и знаков плюса и минуса. | |
FILTER_SANITIZE_SPECIAL_CHARS |
"special_chars" |
FILTER_FLAG_STRIP_LOW,
FILTER_FLAG_STRIP_HIGH,
FILTER_FLAG_STRIP_BACKTICK,
FILTER_FLAG_ENCODE_HIGH
|
Кодирует символы '"<>& и символы
с ASCII-кодом меньше 32 в HTML-сущности, и, если нужно, удаляет или кодирует остальные специальные символы.
|
FILTER_SANITIZE_FULL_SPECIAL_CHARS |
"full_special_chars" |
FILTER_FLAG_NO_ENCODE_QUOTES
|
Эквивалент вызова функции htmlspecialchars()
с параметром ENT_QUOTES. Кодирование кавычек
отключают установкой флага FILTER_FLAG_NO_ENCODE_QUOTES.
Как и функция htmlspecialchars(), этот фильтр учитывает
директиву default_charset, и если
в последовательности байтов будет обнаружен недопустимый для текущей кодировки символ,
то вся строка будет забракована, а результатом будет строка нулевой длины.
При установке этого фильтра в качестве фильтра по умолчанию учитывают
предупреждение, которое изложено ниже, оно рассказывает об установке флагам по умолчанию значения 0.
|
FILTER_SANITIZE_STRING |
"string" |
FILTER_FLAG_NO_ENCODE_QUOTES,
FILTER_FLAG_STRIP_LOW,
FILTER_FLAG_STRIP_HIGH,
FILTER_FLAG_STRIP_BACKTICK,
FILTER_FLAG_ENCODE_LOW,
FILTER_FLAG_ENCODE_HIGH,
FILTER_FLAG_ENCODE_AMP
|
Удаляет теги и кодирует двойные и одинарные кавычки,
а если нужно, удаляет или кодирует специальные символы.
Кодирование кавычек можно отключить, установив FILTER_FLAG_NO_ENCODE_QUOTES.
(Объявлен устаревшим начиная с PHP 8.1.0,
используйте вместо него функцию htmlspecialchars()).
|
FILTER_SANITIZE_STRIPPED |
"stripped" | Псевдоним фильтра "string". (Объявлен устаревшим начиная с PHP 8.1.0, используйте вместо него функцию htmlspecialchars()). | |
FILTER_SANITIZE_URL |
"url" |
Удаляет символы, кроме букв, цифр
и $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=.
|
|
FILTER_UNSAFE_RAW |
"unsafe_raw" |
FILTER_FLAG_STRIP_LOW,
FILTER_FLAG_STRIP_HIGH,
FILTER_FLAG_STRIP_BACKTICK,
FILTER_FLAG_ENCODE_LOW,
FILTER_FLAG_ENCODE_HIGH,
FILTER_FLAG_ENCODE_AMP
|
Бездействует, и, если нужно, удаляет или кодирует специальные символы.
Этот фильтр — псевдоним фильтра FILTER_DEFAULT. |
Внимание
Когда либо в ini-файле, либо в конфигурации веб-сервера один из этих фильтров указан
в качестве фильтра по умолчанию, флагом по умолчанию для него
будет значение FILTER_FLAG_NO_ENCODE_QUOTES. Необходимо явно
установить параметру filter.default_flags значение 0, чтобы по умолчанию кавычки кодировались.
Вот так:
Пример #1 Настройка фильтра по умолчанию для работы аналогично функции htmlspecialchars
filter.default = full_special_chars
filter.default_flags = 0Список изменений
| Версия | Описание |
|---|---|
| 8.1.0 |
Фильтры FILTER_SANITIZE_STRING
и FILTER_SANITIZE_STRIPPED объявлены устаревшими.
|
| 8.0.0 |
Удалён фильтр FILTER_SANITIZE_MAGIC_QUOTES.
|
| 7.3.0 |
В качестве замены FILTER_SANITIZE_MAGIC_QUOTES
добавлен фильтр FILTER_SANITIZE_ADD_SLASHES.
|
| 7.3.0 |
Фильтр FILTER_SANITIZE_MAGIC_QUOTES объявлен устаревшим.
|
add a note
User Contributed Notes 16 notes
googlybash24 at aol dot com ¶
12 years ago
ipse at sergiosantos dot me ¶
3 years ago
Although it's specifically mentioned in the above documentation, because many seem to find this unintuitive it's worth pointing out that FILTER_SANITIZE_NUMBER_FLOAT will remove the decimal character unless you specify FILTER_FLAG_ALLOW_FRACTION:
<?php
$number_string = '12.34';
echo filter_var( $number_string, FILTER_SANITIZE_NUMBER_FLOAT ); // 1234
echo filter_var( $number_string, FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION ); // 12.34
?>
Anonymous ¶
9 years ago
FILTER_SANITIZE_STRING doesn't behavior the same as strip_tags function. strip_tags allows less than symbol inferred from context, FILTER_SANITIZE_STRING strips regardless.
<?php
$smaller = "not a tag < 5";
echo strip_tags($smaller); // -> not a tag < 5
echo filter_var ( $smaller, FILTER_SANITIZE_STRING); // -> not a tag
?>
Willscrlt ¶
8 years ago
To include multiple flags, simply separate the flags with vertical pipe symbols.
For example, if you want to use filter_var() to sanitize $string with FILTER_SANITIZE_STRING and pass in FILTER_FLAG_STRIP_HIGH and FILTER_FLAG_STRIP_LOW, just call it like this:
$string = filter_var($string, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH | FILTER_FLAG_STRIP_LOW);
The same goes for passing a flags field in an options array in the case of using callbacks.
$var = filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS,
array('flags' => FILTER_FLAG_STRIP_LOW | FILTER_FLAG_ENCODE_HIGH));
Thanks to the Brain Goo blog at popmartian.com/tipsntricks/for this info.
AntonioPrimera ¶
8 years ago
Please be aware that when using filter_var() with FILTER_SANITIZE_NUMBER_FLOAT and FILTER_SANITIZE_NUMBER_INT the result will be a string, even if the input value is actually a float or an int.
Use FILTER_VALIDATE_FLOAT and FILTER_VALIDATE_INT, which will convert the result to the expected type.
marcus at synchromedia dot co dot uk ¶
14 years ago
It's not entirely clear what the LOW and HIGH ranges are. LOW is characters below 32, HIGH is those above 127, i.e. outside the ASCII range.
<?php
$a = "\tcafé\n";
//This will remove the tab and the line break
echo filter_var($a, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_LOW);
//This will remove the é.
echo filter_var($a, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH);
?>
galvao at galvao dot eti dot br ¶
11 years ago
Just to clarify, since this may be unknown for a lot of people:
ASCII characters above 127 are known as "Extended" and they represent characters such as greek letters and accented letters in latin alphabets, used in languages such as pt_BR.
A good ASCII quick reference (aside from the already mentioned Wikipedia article) can be found at: http://www.asciicodes.com/
david dot drakulovski at gmail dot com ¶
10 years ago
Here is a simpler and a better presented ASCII list for the <32 or 127> filters
(if wikipedia confused the hell out of you):
http://www.danshort.com/ASCIImap/
finkenb2 at msu dot edu ¶
11 months ago
With the deprecation of FILTER_SANITIZE_STRING, the "use htmlspecialchars instead" is an incomplete comment. The functionality of FILTER_SANITIZE_STRING was a combination of htmlspcialchars and (approximately) strip_tags. For true compatibility a polyfil may be needed:
<?php
function filter_string_polyfill(string $string): string
{
$str = preg_replace('/\x00|<[^>]*>?/', '', $string);
return str_replace(["'", '"'], [''', '"'], $str);
}
$string = "Some \"' <bizzare> string & to Sanitize < !$@%";
echo filter_var($string,FILTER_SANITIZE_STRING).PHP_EOL;
//Some "' string & to Sanitize
echo htmlspecialchars($string).PHP_EOL;
//Some "' <bizzare> string & to Sanitize < !$@%
echo strip_tags($string).PHP_EOL;
//Some "' string & to Sanitize < !$@%
echo htmlspecialchars(strip_tags($string,ENT_QUOTES)).PHP_EOL;
//Some "' string & to Sanitize < !$@%
echo filter_string_polyfill($string).PHP_EOL;
//Some "' string & to Sanitize
darren at daz-web dot com ¶
6 years ago
For those looking for a simple way around filtering POST forms that have textarea elements in them. If you also need tab for example you can extend quite easily.
<?php
//create an array of all relevant textareas
$textareas = array("ta1");
foreach($_POST as $k => $v)
{
$v = trim($v);//so we are sure it is whitespace free at both ends
//preserve newline for textarea answers
if(in_array($k,$textareas))$v=str_replace("\n","[NEWLINE]",$v);
//sanitise string
$v = filter_var($v, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_LOW | FILTER_FLAG_STRIP_HIGH | FILTER_FLAG_STRIP_BACKTICK);
//now replace the placeholder with the original newline
$_POST[$k] = str_replace("[NEWLINE]","\n",$v);
}
//simple form for testing submital
?><!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Filter test</title>
</head>
<body>
<form action="" method="post">
<p>
<textarea name="ta1" cols="30" rows="10"><?php echo $_POST['ta1']; ?></textarea>
</p>
<p>
<input type="text" name="txt1" size="30" value="<?php echo $_POST['txt1']; ?>" />
</p>
<p>
<input type="submit" />
</p>
</form>
</body>
</html>
adellemfrank at hotmail dot com ¶
12 years ago
A good list of which ASCII characters are < 32 and > 127 can be found at: http://en.wikipedia.org/wiki/ASCII#ASCII_printable_characters
Rodrigo Guariento ¶
4 years ago
To get ONLY numbers from a string use this code:
echo preg_replace('/[^0-9]/', '', '123456-789');
anonymous ¶
4 years ago
In the "FILTER_SANITIZE_URL" section where it says, "Remove all characters except letters, digits and $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=." is there a reason why there is a double backslash (\\)? Shouldn't there only be one backslash if it's saying that backslashes are allowed?
Anonymous ¶
4 years ago
<?php
/*
filter all ascii and save juste 0-9 a-Z and @ . _
*/
echo alphanum('abcdefghABCDEFGH0123456789/!:;@._');
// return abcdefghABCDEFGH0123456789@._
function alphanum( $string , $x=''){
$h=strlen($string);
for($a=0; $a<$h; $a++) {
$i = ord($string[$a]);
if(
($i==46) || // .
($i==64) || // @
($i==95) || // _
($i > 47 && $i < 58) || //0123456789
($i > 64 && $i < 91) || //ABCDEFGH..Z
($i > 96 && $i < 123) //abcdefgh..z
) { $x .= $string[$a]; }
}
return $x;
}
?>
Dmitry Snytkine ¶
13 years ago
Beware that FILTER_FLAG_STRIP_LOW strips NEWLINE and TAG and CARRIAGE RETURN chars. If you have a form that accepts user input in plaintext format, all the submitted text will lose all the line breaks, making it appear all on one line. This basically renders this filter useless for parsing user-submitted text, even in plain text.
