概述
正如你所見到的一樣,I方法是ThinkPHP眾多單字母函數中的新成員,其命名來自於英文Input(輸入),主要用於更加方便和安全的獲取系統輸入變量,可以用於任何地方,用法格式如下:
I('變量類型.變量名',['默認值'],['過濾方法'])
變量類型是指請求方式或者輸入類型,包括:
| 變量類型 | 含義 |
|---|---|
| get | 獲取GET參數 |
| post | 獲取POST參數 |
| param | 自動判斷請求類型獲取GET、POST或者PUT參數 |
| request | 獲取REQUEST 參數 |
| put | 獲取PUT 參數 |
| session | 獲取 $_SESSION 參數 |
| cookie | 獲取 $_COOKIE 參數 |
| server | 獲取 $_SERVER 參數 |
| globals | 獲取 $GLOBALS參數 |
注意:變量類型不區分大小寫。
變量名則嚴格區分大小寫。
默認值和過濾方法均屬於可選參數。
用法
我們以GET變量類型為例,說明下I方法的使用:
- echo I('get.id'); // 相當於 $_GET['id']
- echo I('get.name'); // 相當於 $_GET['name']
支持默認值:
- echo I('get.id',0); // 如果不存在$_GET['id'] 則返回0
- echo I('get.name',''); // 如果不存在$_GET['name'] 則返回空字符串
采用方法過濾:
- echo I('get.name','','htmlspecialchars'); // 采用htmlspecialchars方法對$_GET['name'] 進行過濾,如果不存在則返回空字符串
支持直接獲取整個變量類型,例如:
- I('get.'); // 獲取整個$_GET 數組
用同樣的方式,我們可以獲取post或者其他輸入類型的變量,例如:
- I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法對$_POST['name'] 進行過濾,如果不存在則返回空字符串
- I('session.user_id',0); // 獲取$_SESSION['user_id'] 如果不存在則默認為0
- I('cookie.'); // 獲取整個 $_COOKIE 數組
- I('server.REQUEST_METHOD'); // 獲取 $_SERVER['REQUEST_METHOD']
param變量類型是框架特有的支持自動判斷當前請求類型的變量獲取方式,例如:
- echo I('param.id');
如果當前請求類型是GET,那么等效於 $_GET['id'],如果當前請求類型是POST或者PUT,那么相當於獲取 $_POST['id'] 或者 PUT參數id。
並且param類型變量還可以用數字索引的方式獲取URL參數(必須是PATHINFO模式參數有效,無論是GET還是POST方式都有效),例如:
當前訪問URL地址是
- http://serverName/index.php/New/2013/06/01
那么我們可以通過
- echo I('param.1'); // 輸出2013
- echo I('param.2'); // 輸出06
- echo I('param.3'); // 輸出01
事實上,param變量類型的寫法可以簡化為:
- I('id'); // 等同於 I('param.id')
- I('name'); // 等同於 I('param.name')
變量過濾
使用I方法的時候 變量其實經過了兩道過濾,首先是全局的過濾,全局過濾是通過配置VAR_FILTERS參數,這里一定要注意,3.1版本之后,VAR_FILTERS參數的過濾機制已經更改為采用array_walk_recursive方法遞歸過濾了,主要對過濾方法的要求是必須引用返回,所以這里設置htmlspecialchars是無效的,你可以自定義一個方法,例如:
- function filter_default(&$value){
- $value = htmlspecialchars($value);
- }
然后配置:
- 'VAR_FILTERS'=>'filter_default'
如果需要進行多次過濾,可以用:
- 'VAR_FILTERS'=>'filter_default,filter_exp'
filter_exp方法是框架內置的安全過濾方法,用於防止利用模型的EXP功能進行注入攻擊。
因為VAR_FILTERS參數設置的是全局過濾機制,而且采用的是遞歸過濾,對效率有所影響,所以,我們更建議直接對獲取變量過濾的方式,除了在I方法的第三個參數設置過濾方法外,還可以采用配置DEFAULT_FILTER參數的方式設置過濾,事實上,該參數的默認設置是:
- 'DEFAULT_FILTER' => 'htmlspecialchars'
也就說,I方法的所有獲取變量都會進行htmlspecialchars過濾,那么:
- I('get.name'); // 等同於 htmlspecialchars($_GET['name'])
同樣,該參數也可以支持多個過濾,例如:
- 'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'
- I('get.name'); // 等同於 htmlspecialchars(strip_tags($_GET['name']))
如果我們在使用I方法的時候 指定了過濾方法,那么就會忽略DEFAULT_FILTER的設置,例如:
- echo I('get.name','','strip_tags'); // 等同於 strip_tags($_GET['name'])
I方法的第三個參數如果傳入函數名,則表示調用該函數對變量進行過濾並返回(在變量是數組的情況下自動使用array_map進行過濾處理),否則會調用PHP內置的filter_var方法進行過濾處理,例如:
- I('post.email','',FILTER_VALIDATE_EMAIL);
表示 會對$_POST['email'] 進行 格式驗證,如果不符合要求的話,返回空字符串。
(關於更多的驗證格式,可以參考 官方手冊的filter_var用法。)
或者可以用下面的字符標識方式:
- I('post.email','','email');
可以支持的過濾名稱必須是filter_list方法中的有效值(不同的服務器環境可能有所不同),可能支持的包括:
- int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- url
- number_int
- number_float
- magic_quotes
- callback
在有些特殊的情況下,我們不希望進行任何過濾,即使DEFAULT_FILTER已經有所設置,可以使用:
- I('get.name','',NULL);
一旦過濾參數設置為NULL,即表示不再進行任何的過濾。