PHP filter_var и filter_input: понятное руководство по валидации и фильтрации данных
Корректная обработка входных данных — основа безопасности и устойчивости приложения. В PHP для этого есть мощный и быстрый инструмент: фильтры из расширения filter — прежде всего функции filter_var и filter_input. Ниже — практическое руководство с примерами и советами, которое поможет вам настроить валидацию и фильтрацию данных «с нуля» правильно.
Валидация vs фильтрация: в чём разница
Важно: фильтрация не гарантирует валидность, а валидация не делает значение безопасным для вывода в HTML. Для вывода всегда используйте htmlspecialchars.
Ключевые функции фильтров PHP
Базовые примеры: email, число, bool, URL
Email из формы (POST)
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
if ($email === false) {
// Поле есть, но email невалиден
$error = 'Введите корректный email';
} elseif ($email === null) {
// Поле отсутствует в запросе
$error = 'Поле email обязательно';
} else {
// ОК — валидный email
}
Отличайте false (значение есть, но не прошло валидацию) от null (значения нет). Если нужно различать случаи строгее — используйте filter_has_var.
ID из URL (GET) — только целое и от 1
if (!filter_has_var(INPUT_GET, 'id')) {
http_response_code(400);
exit('Отсутствует параметр id');
}
$id = filter_input(
INPUT_GET,
'id',
FILTER_VALIDATE_INT,
[
'options' => ['min_range' => 1],
'flags' => FILTER_NULL_ON_FAILURE
]
);
if ($id === null) {
http_response_code(400);
exit('Некорректный id');
}
// $id — гарантированно int >= 1
Булево из формы
$isActive = filter_input(INPUT_POST, 'active', FILTER_VALIDATE_BOOL, FILTER_NULL_ON_FAILURE);
if ($isActive === null) {
// Не удалось распознать как true/false
}
// $isActive — bool или null
Проверка URL
$url = filter_input(INPUT_POST, 'website', FILTER_VALIDATE_URL, [
'flags' => FILTER_FLAG_PATH_REQUIRED | FILTER_FLAG_QUERY_REQUIRED
]);
if ($url === false || $url === null) {
$error = 'Укажите полный URL с путем и параметрами (например, https://site.com/page?x=1)';
}
Фильтрация текста и безопасный вывод
Ранее популярный FILTER_SANITIZE_STRING устарел (deprecated в PHP 8.1, удалён в 8.3). Вместо него используйте понятные и явные операции:
$nameRaw = filter_input(INPUT_POST, 'name', FILTER_UNSAFE_RAW) ?? '';
$name = trim(strip_tags($nameRaw));
$name = mb_substr($name, 0, 50);
if ($name === '') {
$error = 'Имя не может быть пустым';
}
// При выводе в HTML:
echo htmlspecialchars($name, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8');
Помните: фильтры — про данные, escaping — про вывод. Это разные этапы защиты.
Обработка массивов полей: filter_input_array
Если у формы много полей, удобно применить правила сразу ко всем:
$spec = [
'email' => FILTER_VALIDATE_EMAIL,
'age' => [
'filter' => FILTER_VALIDATE_INT,
'options' => ['min_range' => 18, 'max_range' => 99],
'flags' => FILTER_NULL_ON_FAILURE,
],
'tags' => [
'filter' => FILTER_DEFAULT, // просто получить как есть
'flags' => FILTER_REQUIRE_ARRAY, // ожидаем массив
],
];
$data = filter_input_array(INPUT_POST, $spec);
// $data['email'] — валидный email или false/null
// $data['age'] — int или null
// $data['tags'] — массив строк
Если нужна «очистка» для элементов массива (например, trim для каждого тега), примените array_map после получения значений.
Валидируем числа с плавающей точкой и локаль
Для десятичных чисел учтите локаль: пользователь может ввести «1,5». Унифицируйте ввод, а затем валидируйте:
$priceRaw = filter_input(INPUT_POST, 'price', FILTER_UNSAFE_RAW) ?? '';
$priceNormalized = str_replace(',', '.', trim($priceRaw));
$price = filter_var($priceNormalized, FILTER_VALIDATE_FLOAT, [
'flags' => FILTER_NULL_ON_FAILURE,
]);
if ($price === null || $price <= 0) {
$error = 'Укажите корректную цену больше 0';
}
Частые ошибки и как их избежать
Мини-утилита для проекта
function in_get_int(string $key, int $min = 1): ?int {
if (!filter_has_var(INPUT_GET, $key)) {
return null;
}
return filter_input(INPUT_GET, $key, FILTER_VALIDATE_INT, [
'options' => ['min_range' => $min],
'flags' => FILTER_NULL_ON_FAILURE,
]);
}
function in_post_email(string $key = 'email'): ?string {
$val = filter_input(INPUT_POST, $key, FILTER_VALIDATE_EMAIL);
return $val === false ? null : $val;
}
// Использование:
$id = in_get_int('id');
$email = in_post_email();
Куда двигаться дальше
Фильтры — это фундамент обработки входа. Далее вам пригодятся корректный экранирующий вывод, защита от CSRF и безопасная работа с БД через подготовленные выражения. Если хотите быстро закрыть пробелы и собрать всё в единую систему на реальных задачах — рекомендую Пройти практический курс «PHP и MySQL с Нуля до Гуру 3.0» — отличный путь прокачать PHP с нуля до уверенной разработки.
Итог
Используя filter_var, filter_input и их «массивные» аналоги, вы быстро получите надёжную и чистую схему валидации и фильтрации данных. Добавьте нормализацию, строгие сравнения и безопасный вывод — и ваши формы станут предсказуемыми, а код — устойчивым и безопасным.
