概述 正如你所见到的一样,I方法是ThinkPHP众多单字母函数中的新成员,其命名来自于英文Input(输入),主要用于更加方便和安全的获取系统输入变量,可以用于任何地方,用法格式如下:
( K0 c, E8 o1 d! k' \I('变量类型.变量名',['默认值'],['过滤方法'])
2 E9 S1 s0 z" \1 n) }# A变量类型是指请求方式或者输入类型,包括: - }' g2 D& \7 j8 Q( ?% S
变量类型 | 含义 | get | 获取GET参数 | post | 获取POST参数 | param | 自动判断请求类型获取GET、POST或者PUT参数 | request | 获取REQUEST 参数 | put | 获取PUT 参数 | session | 获取 $_SESSION 参数 | cookie | 获取 $_COOKIE 参数 | server | 获取 $_SERVER 参数 | globals | 获取 $GLOBALS参数 |
g8 G1 `# G, D7 `- g$ K4 m
注意:变量类型不区分大小写。# I4 v- ? R) d l
变量名则严格区分大小写。5 B7 B A8 [8 ~5 z: p4 ]
默认值和过滤方法均属于可选参数。 Y# X7 ~8 N, L# Z1 i1 Z+ T
/ U7 _; R1 f# s: o( H6 z! e% } 用法我们以GET变量类型为例,说明下I方法的使用: - echo I('get.id'); // 相当于 $_GET['id']
- echo I('get.name'); // 相当于 $_GET['name']7 ?' g6 j0 w7 H1 y% L4 C5 J, ~ S
复制代码 Q$ D. x+ }; `( N3 ?
支持默认值: - echo I('get.id',0); // 如果不存在$_GET['id'] 则返回0
- echo I('get.name',''); // 如果不存在$_GET['name'] 则返回空字符串0 N8 L; w' C- B% I
复制代码
3 n V; l* C+ Y+ I采用方法过滤: - echo I('get.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_GET['name'] 进行过滤,如果不存在则返回空字符串- c _% r7 Y1 n1 `
复制代码( f/ _6 v1 q/ \0 N, U! q" [( `
支持直接获取整个变量类型,例如: - I('get.'); // 获取整个$_GET 数组
# X9 r9 V+ f# b+ A/ \# `$ z 复制代码
6 t7 O- l0 _8 |, v用同样的方式,我们可以获取post或者其他输入类型的变量,例如: - I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤,如果不存在则返回空字符串
- I('session.user_id',0); // 获取$_SESSION['user_id'] 如果不存在则默认为0
- I('cookie.'); // 获取整个 $_COOKIE 数组
- I('server.REQUEST_METHOD'); // 获取 $_SERVER['REQUEST_METHOD']
0 P8 X$ X/ n/ j4 Y 复制代码
. x4 x+ F% _, y! l1 X. gparam变量类型是框架特有的支持自动判断当前请求类型的变量获取方式,例如: - echo I('param.id');0 I6 u& j! Y* B4 p0 x3 ]8 g% B. {6 J
复制代码
4 x. f a0 W8 p! j# ~) O3 R& U如果当前请求类型是GET,那么等效于 $_GET['id'],如果当前请求类型是POST或者PUT,那么相当于获取 $_POST['id'] 或者 PUT参数id。
3 j; o ^. L; U; w+ A6 H并且param类型变量还可以用数字索引的方式获取URL参数(必须是PATHINFO模式参数有效,无论是GET还是POST方式都有效),例如:
4 `3 g2 x; A7 [3 a3 p当前访问URL地址是 - http://serverName/index.php/New/2013/06/01
& E; ^+ m/ T5 p0 j 复制代码4 A" H# C1 D Y* ^
那么我们可以通过 - echo I('param.1'); // 输出2013
- echo I('param.2'); // 输出06
- echo I('param.3'); // 输出01
. t8 e5 F& j3 j7 L8 s# `2 U 复制代码
$ F; U! M2 M' [* B& S事实上,param变量类型的写法可以简化为: - I('id'); // 等同于 I('param.id')
- I('name'); // 等同于 I('param.name')
2 f2 s" G8 Y; Z" U8 r% L9 V" F1 c 复制代码
7 Q9 T7 d0 T# Y/ }变量过滤使用I方法的时候 变量其实经过了两道过滤,首先是全局的过滤,全局过滤是通过配置VAR_FILTERS参数,这里一定要注意,3.1版本之后,VAR_FILTERS参数的过滤机制已经更改为采用array_walk_recursive方法递归过滤了,主要对过滤方法的要求是必须引用返回,所以这里设置htmlspecialchars是无效的,你可以自定义一个方法,例如: - function filter_default(&$value){
- $value = htmlspecialchars($value);
- }8 r' s' K7 h, v4 a
复制代码8 s! x' W& O* O9 s. X5 k
然后配置: - 'VAR_FILTERS'=>'filter_default'
) D* S" ]2 e }8 b7 M( a- A8 }; N. u7 U 复制代码+ o# n9 q p$ e% t! f
如果需要进行多次过滤,可以用: - 'VAR_FILTERS'=>'filter_default,filter_exp'8 M! A) ^6 Q, F0 B7 C
复制代码 ]) |/ S( D: B2 c8 l# z- r e: _6 E
filter_exp方法是框架内置的安全过滤方法,用于防止利用模型的EXP功能进行注入攻击。/ @0 p6 c( Q( d# I$ _) p
$ L0 B( z- P g" P" p( ?
因为VAR_FILTERS参数设置的是全局过滤机制,而且采用的是递归过滤,对效率有所影响,所以,我们更建议直接对获取变量过滤的方式,除了在I方法的第三个参数设置过滤方法外,还可以采用配置DEFAULT_FILTER参数的方式设置过滤,事实上,该参数的默认设置是: - 'DEFAULT_FILTER' => 'htmlspecialchars'# O6 f2 `2 M+ E" X
复制代码! A4 J U' R: U+ L+ |
也就说,I方法的所有获取变量都会进行htmlspecialchars过滤,那么: - I('get.name'); // 等同于 htmlspecialchars($_GET['name'])
- Y+ q( y) V E& k# O8 {8 @ 复制代码
. m% u3 y4 v+ L6 H( e) h同样,该参数也可以支持多个过滤,例如: - 'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'- @2 o/ R' Z1 I6 Z
复制代码
% |2 C P5 U& L! q. F+ d' r9 ]- I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))
( s6 J- ]% V3 q( T4 \0 ~/ c4 C 复制代码
: b# N7 [& t& g* Q9 o3 m& X1 D5 ]8 u如果我们在使用I方法的时候 指定了过滤方法,那么就会忽略DEFAULT_FILTER的设置,例如: - echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
/ ~1 ]+ K3 q$ C 复制代码
' M7 p( R+ Y! y* XI方法的第三个参数如果传入函数名,则表示调用该函数对变量进行过滤并返回(在变量是数组的情况下自动使用array_map进行过滤处理),否则会调用PHP内置的filter_var方法进行过滤处理,例如: - I('post.email','',FILTER_VALIDATE_EMAIL);
2 O% K6 |6 N" x- k7 |/ w+ f 复制代码8 h. p( {) I5 X
表示 会对$_POST['email'] 进行 格式验证,如果不符合要求的话,返回空字符串。0 G2 X, X% X4 S: V
(关于更多的验证格式,可以参考 官方手册的filter_var用法。)
( K6 Y1 }3 P3 [- t. w) {1 r& W或者可以用下面的字符标识方式: - I('post.email','','email');( L1 e. J1 @& R {# }7 o# u: g% M3 g
复制代码
8 \ n8 U) K N* ~5 h可以支持的过滤名称必须是filter_list方法中的有效值(不同的服务器环境可能有所不同),可能支持的包括: - int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- email
- url
- number_int
- number_float
- magic_quotes
- callback2 F9 ~7 g1 t$ S y8 e% F9 I
复制代码
6 t4 k0 b5 w/ Z% W在有些特殊的情况下,我们不希望进行任何过滤,即使DEFAULT_FILTER已经有所设置,可以使用: - I('get.name','',NULL);$ y& u' T0 I& q& x% X
复制代码3 ]7 t: j" a K& @# x- U
一旦过滤参数设置为NULL,即表示不再进行任何的过滤。 . `% G! H9 z: i) ~" c* C. b
|