WordPress中文开发手册

WordPress插件开发 — 数据验证

数据验证是根据具有确定结果的预定义模式(或模式)分析数据的过程:有效或无效。

通常这适用于来自外部来源的数据,例如用户输入和通过API调用Web服务。

数据验证的简单示例:

  • 检查所需字段未留空
  • 检查输入的电话号码只包含数字和标点符号
  • 检查输入的邮政编码是否是有效的邮政编码
  • 检查数量字段是否大于0
  • 数据验证应尽早进行。 这意味着在执行任何操作之前验证数据。

注意:验证可以通过使用前端的JavaScript和后端使用PHP来执行。

验证数据

至少有三种方式:内置PHP函数,核心WordPress函数和您编写的自定义函数。

内置PHP功能

使用许多内置的PHP函数进行基本验证,包括:

  • isset()和empty()用于检查变量是否存在且不为空
  • mb_strlen()或strlen()用于检查字符串是否具有预期的字符数
  • preg_match(),strpos()用于检查其他字符串中某些字符串的出现情况
  • count()用于检查数组中有多少项
  • in_array()用于检查数组中是否存在某些内容

核心WordPress功能

WordPress提供了许多有用的功能,有助于验证不同类型的数据。以下是几个例子:

  • is_email()将验证电子邮件地址是否有效。
  • term_exists()检查是否存在标签,类别或其他分类术语。
  • username_exists()检查用户名是否存在。
  • validate_file()将验证输入的文件路径是否为真实路径(但不是文件是否存在)。

检查WordPress代码参考以获得更多类似的功能。搜索具有以下名称的函数:* _exists(),* validate(),并且是 *()。并非所有这些都是验证功能,但许多都是有帮助的。

定制PHP和JavaScript函数

您可以编写自己的PHP和JavaScript函数,并将它们包含在您的插件中。编写验证函数时,您需要将其命名为一个问题(例如:is_phone,is_available,is_us_zipcode)。

该函数应该返回一个布尔值(true或false),具体取决于数据是否有效。这将允许使用该功能作为条件。

示例1

假设您有一个用户提交的美国邮政编码输入字段。

<input id="wporg_zip_code" type="text" maxlength="10" name="wporg_zip_code">

文本字段允许最多10个字符的输入,对可以使用的字符类型没有限制。 用户可以输入一些有效的东西,如1234567890,或者像eval()一样无效(和邪恶)。

我们输入域中的maxlength属性仅由浏览器强制执行,因此您仍然需要验证服务器上输入的长度。 如果不这样做,攻击者可以改变maxlength值。

通过使用验证,我们可以确保我们只接受有效的邮政编码。

首先,您需要编写一个功能来验证美国邮政编码:

<?php
function is_us_zip_code($zip_code)
{
    // scenario 1: empty
    if (empty($zip_code)) {
        return false;
    }
 
    // scenario 2: more than 10 characters
    if (strlen(trim($zip_code)) > 10) {
        return false;
    }
 
    // scenario 3: incorrect format
    if (!preg_match('/^\d{5}(\-?\d{4})?$/', $zip_code)) {
        return false;
    }
 
    // passed successfully
    return true;
}

处理表单时,您的代码应检查wporg_zip_code字段,并根据结果执行操作:

if (isset($_POST['wporg_zip_code']) && is_us_zip_code($_POST['wporg_zip_code'])) {
    // your action
}

例2

假设您要查询数据库中的某些帖子,并希望让用户对查询结果进行排序。

该示例代码通过使用内置的PHP函数in_array将允许的排序键的数组进行比较来检查输入的排序键(存储在“orderby”输入参数中)的有效性。 这样可以防止用户传递恶意数据并潜在地损害网站。

在对数组检查传入排序键之前,将密钥传递到内置的WordPress功能sanitize_key。 此功能确保了键是小写(in_array执行区分大小写的搜索)。

将“true”传递给in_array的第三个参数可以进行严格的类型检查,这样就可以使功能不仅可以比较值和值类型。 这允许代码确定输入的排序键是字符串,而不是其他数据类型。

<?php
$allowed_keys = ['author', 'post_author', 'date', 'post_date'];
 
$orderby = sanitize_key($_POST['orderby']);
 
if (in_array($orderby, $allowed_keys, true)) {
    // modify the query to sort by the orderby key
}
Tags