数据验证是根据具有确定结果的预定义模式(或模式)分析数据的过程:有效或无效。
通常这适用于来自外部来源的数据,例如用户输入和通过API调用Web服务。
数据验证的简单示例:
- 检查所需字段未留空
- 检查输入的电话号码只包含数字和标点符号
- 检查输入的邮政编码是否是有效的邮政编码
- 检查数量字段是否大于0
- 数据验证应尽早进行。 这意味着在执行任何操作之前验证数据。
>[warning] 注意:验证可以通过使用前端的JavaScript和后端使用PHP来执行。
## 验证数据
至少有三种方式:内置PHP函数,核心WordPress函数和您编写的自定义函数。
## 内置PHP功能
使用许多内置的PHP函数进行基本验证,包括:
- isset()和empty()用于检查变量是否存在且不为空
- mb_strlen()或strlen()用于检查字符串是否具有预期的字符数
- preg_match(),strpos()用于检查其他字符串中某些字符串的出现情况
- count()用于检查数组中有多少项
- in_array()用于检查数组中是否存在某些内容
## 核心WordPress功能
WordPress提供了许多有用的功能,有助于验证不同类型的数据。以下是几个例子:
- is_email()将验证电子邮件地址是否有效。
- term_exists()检查是否存在标签,类别或其他分类术语。
- username_exists()检查用户名是否存在。
- validate_file()将验证输入的文件路径是否为真实路径(但不是文件是否存在)。
检查WordPress代码参考以获得更多类似的功能。搜索具有以下名称的函数:* _exists(),* _validate(),并且是_ *()。并非所有这些都是验证功能,但许多都是有帮助的。
## 定制PHP和JavaScript函数
您可以编写自己的PHP和JavaScript函数,并将它们包含在您的插件中。编写验证函数时,您需要将其命名为一个问题(例如:is_phone,is_available,is_us_zipcode)。
该函数应该返回一个布尔值(true或false),具体取决于数据是否有效。这将允许使用该功能作为条件。
## 示例1
假设您有一个用户提交的美国邮政编码输入字段。
```
<input id="wporg_zip_code" type="text" maxlength="10" name="wporg_zip_code">
```
文本字段允许最多10个字符的输入,对可以使用的字符类型没有限制。 用户可以输入一些有效的东西,如1234567890,或者像eval()一样无效(和邪恶)。
我们输入域中的maxlength属性仅由浏览器强制执行,因此您仍然需要验证服务器上输入的长度。 如果不这样做,攻击者可以改变maxlength值。
通过使用验证,我们可以确保我们只接受有效的邮政编码。
首先,您需要编写一个功能来验证美国邮政编码:
```
<?php
function is_us_zip_code($zip_code)
{
// scenario 1: empty
if (empty($zip_code)) {
return false;
}
// scenario 2: more than 10 characters
if (strlen(trim($zip_code)) > 10) {
return false;
}
// scenario 3: incorrect format
if (!preg_match('/^\d{5}(\-?\d{4})?$/', $zip_code)) {
return false;
}
// passed successfully
return true;
}
```
处理表单时,您的代码应检查wporg_zip_code字段,并根据结果执行操作:
```
if (isset($_POST['wporg_zip_code']) && is_us_zip_code($_POST['wporg_zip_code'])) {
// your action
}
```
## 例2
假设您要查询数据库中的某些帖子,并希望让用户对查询结果进行排序。
该示例代码通过使用内置的PHP函数in_array将允许的排序键的数组进行比较来检查输入的排序键(存储在“orderby”输入参数中)的有效性。 这样可以防止用户传递恶意数据并潜在地损害网站。
在对数组检查传入排序键之前,将密钥传递到内置的WordPress功能sanitize_key。 此功能确保了键是小写(in_array执行区分大小写的搜索)。
将“true”传递给in_array的第三个参数可以进行严格的类型检查,这样就可以使功能不仅可以比较值和值类型。 这允许代码确定输入的排序键是字符串,而不是其他数据类型。
```
<?php
$allowed_keys = ['author', 'post_author', 'date', 'post_date'];
$orderby = sanitize_key($_POST['orderby']);
if (in_array($orderby, $allowed_keys, true)) {
// modify the query to sort by the orderby key
}
```
- 简介
- 主题开发
- WordPress许可证
- 什么是主题
- 开发环境
- 主题开发示例
- 主题基础
- 模板文件
- 主样式表(style.css)
- 文章类型
- 规划主题文件
- 模板层级
- 模板标签
- 循环
- 主题函数
- 连接主题文件和目录
- 使用CSS和JavaScript
- 条件标签
- 类别,标签和自定义分类
- 模板文件
- 内容模板文件
- 页面模板文件
- 附件模板文件
- 自定义内容类型
- 部分和其他模板文件
- 评论模板
- 分类模板
- 404页面
- 主题功能
- 核心支持的功能
- 管理菜单
- 自定义Headers
- 自定义Logo
- 文章格式
- 置顶文章
- Sidebars
- Widgets
- 导航菜单
- 分页
- 媒体
- Audio
- Images
- Galleries
- Video
- 精选图片和缩略图
- 国际化
- 本地化
- 辅助功能
- 主题选项 – 自定义API
- 定制对象
- 改进用户体验的工具
- 定制JavaScript API
- JavaScript / Underscore.js渲染的自定义控件
- 高级用法
- 主题安全
- 数据消毒/逃避
- 数据验证
- 使用随机数
- 常见漏洞
- 高级主题
- 子主题
- UI最佳实践
- JavaScript最佳做法
- 主题单元测试
- 验证你的主题
- Plugin API Hooks
- 发布你的主题
- 所需的主题文件
- 测试
- 主题评论指南
- 写文档
- 提交你的主题到WordPress.org
- 参考文献
- 模板标签列表
- 条件标签列表
- 编码标准
- HTML编码标准
- CSS编码标准
- JavaScript编码标准
- PHP编码标准
- 插件开发
- 插件开发简介
- 什么是插件
- 插件基础
- 头部要求
- 包括软件许可证
- 启用 / 停用 Hooks
- 卸载方法
- 最佳做法
- 插件安全
- 检查用户功能
- 数据验证
- 保护输入
- 保护输出
- 随机数
- Hooks
- Actions
- Filters
- 自定义Hooks
- 高级主题
- 管理菜单
- 顶级菜单
- 子菜单
- 短代码
- 基本短码
- 封闭短码
- 带参数的短代码
- TinyMCE增强型短码
- 设置
- 设置API
- 使用设置API
- 选项API
- 自定义设置页面
- 元数据
- 管理帖子元数据
- 自定义元数据
- 渲染元数据
- 自定义文章类型
- 注册自定义文章类型
- 使用自定义文章类型
- 分类
- 使用自定义分类
- 在WP 4.2+中使用“split术语”
- 用户
- 创建和管理用户
- 使用用户元数据
- 角色和功能
- HTTP API
- JavaScript
- jQuery
- Ajax
- 服务器端PHP和入队
- Heartbeat API
- 概要
- 计划任务
- 了解WP-Cron计划
- 安排WP-Cron 事件
- 将WP-Cron挂接到系统任务计划程序中
- WP-Cron简单测试
- 国际化
- 本地化
- 如何国际化您的插件
- 国际化安全
- WordPress.org
- 详细插件指南
- 规划您的插件
- 如何使用Subversion
- 插件开发者常见问题
- 开发工具
- Debug Bar 和附加组件
- 辅助插件
- REST API手册
- 资源
- 文章
- 文章修订
- 文章类型
- 文章状态
- 类别
- 标签
- 页面
- 评论
- 分类
- 媒体
- 用户
- 设置
- 使用REST API
- 全局参数
- 分页
- 链接和嵌入
- 发现
- 认证
- 经常问的问题
- 骨干JavaScript客户端
- 客户端库
- 扩展REST API
- 添加自定义端点
- 自定义内容类型
- 修改回应
- 模式
- 词汇表
- 路由和端点
- 控制器类