概述 正如你所见到的一样,I方法是ThinkPHP众多单字母函数中的新成员,其命名来自于英文Input(输入),主要用于更加方便和安全的获取系统输入变量,可以用于任何地方,用法格式如下:/ Z9 ~) r( p4 h% z- I _
I('变量类型.变量名',['默认值'],['过滤方法'])& f# U3 e, Q2 M1 D8 q
变量类型是指请求方式或者输入类型,包括: 6 P1 Z: A0 A( L
变量类型 | 含义 | get | 获取GET参数 | post | 获取POST参数 | param | 自动判断请求类型获取GET、POST或者PUT参数 | request | 获取REQUEST 参数 | put | 获取PUT 参数 | session | 获取 $_SESSION 参数 | cookie | 获取 $_COOKIE 参数 | server | 获取 $_SERVER 参数 | globals | 获取 $GLOBALS参数 |
! x$ D$ x R/ w& E5 w6 ~+ n
注意:变量类型不区分大小写。 w/ D4 V7 L9 M, D& W7 M: r
变量名则严格区分大小写。4 h4 R. W: w( c9 M* B ^5 A0 J$ F
默认值和过滤方法均属于可选参数。4 y9 N5 S& q5 U2 G6 C# e
% ?+ o8 A1 Z* G! |: @; Y4 ~! a
用法我们以GET变量类型为例,说明下I方法的使用: - echo I('get.id'); // 相当于 $_GET['id']
- echo I('get.name'); // 相当于 $_GET['name']
" J, }; z* M5 ^ 复制代码2 R7 b3 p! k. j* `
支持默认值: - echo I('get.id',0); // 如果不存在$_GET['id'] 则返回0
- echo I('get.name',''); // 如果不存在$_GET['name'] 则返回空字符串
% P+ a" c7 Y5 Q1 E8 N 复制代码
p1 E" a" j* B采用方法过滤: - echo I('get.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_GET['name'] 进行过滤,如果不存在则返回空字符串" J( k9 Q: s4 m. ]+ U. w
复制代码
; {9 ?' l; P; t6 b5 a6 w2 p支持直接获取整个变量类型,例如: - I('get.'); // 获取整个$_GET 数组
4 @& M" S; p5 p% s8 y 复制代码
7 ^" R9 f' t3 G用同样的方式,我们可以获取post或者其他输入类型的变量,例如: - I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤,如果不存在则返回空字符串
- I('session.user_id',0); // 获取$_SESSION['user_id'] 如果不存在则默认为0
- I('cookie.'); // 获取整个 $_COOKIE 数组
- I('server.REQUEST_METHOD'); // 获取 $_SERVER['REQUEST_METHOD']; b; h/ k6 b. s- K5 ~
复制代码
% J4 a/ l9 @4 v6 ]& W/ x {; }param变量类型是框架特有的支持自动判断当前请求类型的变量获取方式,例如: - echo I('param.id');3 C' k+ [8 [! Z. \* H
复制代码& d1 g6 S# e% ]8 ]: T5 H4 J
如果当前请求类型是GET,那么等效于 $_GET['id'],如果当前请求类型是POST或者PUT,那么相当于获取 $_POST['id'] 或者 PUT参数id。' R: @6 c# _# y+ H2 W; T
并且param类型变量还可以用数字索引的方式获取URL参数(必须是PATHINFO模式参数有效,无论是GET还是POST方式都有效),例如:
! V$ i* |1 m& [' B4 v当前访问URL地址是 - http://serverName/index.php/New/2013/06/018 M6 U6 J+ k1 i; I! m
复制代码( H+ v6 U/ |/ y4 u3 }# k
那么我们可以通过 - echo I('param.1'); // 输出2013
- echo I('param.2'); // 输出06
- echo I('param.3'); // 输出01
7 F& ~% ~" G& _ 复制代码
$ W$ D6 [6 _* A5 A7 ^事实上,param变量类型的写法可以简化为: - I('id'); // 等同于 I('param.id')
- I('name'); // 等同于 I('param.name')6 `- l: ]- s% Y$ _) c8 i
复制代码
. M/ ?1 J n3 M& p% @3 _+ t变量过滤使用I方法的时候 变量其实经过了两道过滤,首先是全局的过滤,全局过滤是通过配置VAR_FILTERS参数,这里一定要注意,3.1版本之后,VAR_FILTERS参数的过滤机制已经更改为采用array_walk_recursive方法递归过滤了,主要对过滤方法的要求是必须引用返回,所以这里设置htmlspecialchars是无效的,你可以自定义一个方法,例如: - function filter_default(&$value){
- $value = htmlspecialchars($value);
- }+ _; w9 n4 s* A2 P$ M! L q
复制代码1 T @2 {5 t: O1 G. @1 |% P
然后配置: - 'VAR_FILTERS'=>'filter_default'
/ K* P! Q) a: X 复制代码& I. p( i* N% `" ^
如果需要进行多次过滤,可以用: - 'VAR_FILTERS'=>'filter_default,filter_exp'# I! c) i: N" Z6 z! t0 {
复制代码% L; s. e+ ]6 s7 Z" M
filter_exp方法是框架内置的安全过滤方法,用于防止利用模型的EXP功能进行注入攻击。
$ ~8 x2 e$ M \' x1 X3 c {6 r
5 k( `* m2 O# d" d# {# }- U因为VAR_FILTERS参数设置的是全局过滤机制,而且采用的是递归过滤,对效率有所影响,所以,我们更建议直接对获取变量过滤的方式,除了在I方法的第三个参数设置过滤方法外,还可以采用配置DEFAULT_FILTER参数的方式设置过滤,事实上,该参数的默认设置是: - 'DEFAULT_FILTER' => 'htmlspecialchars'5 c7 h+ h) i4 Y! n! D$ w! e
复制代码
5 }" g0 N3 Y3 H- c* i7 ^也就说,I方法的所有获取变量都会进行htmlspecialchars过滤,那么: - I('get.name'); // 等同于 htmlspecialchars($_GET['name'])+ H9 ?- b7 P) a
复制代码
' S- u& B9 |; x同样,该参数也可以支持多个过滤,例如: - 'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'
4 L, M+ J% g6 d( o( H! x' ? 复制代码
( ]7 c0 s; [+ K, S- I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))$ p ]# L2 I \9 n. I
复制代码; f7 Y. D7 k( p3 b, L- e
如果我们在使用I方法的时候 指定了过滤方法,那么就会忽略DEFAULT_FILTER的设置,例如: - echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
6 e7 F$ u, ~4 v& p3 h+ E 复制代码
" e; S5 m. r% I' ^, c+ ^3 pI方法的第三个参数如果传入函数名,则表示调用该函数对变量进行过滤并返回(在变量是数组的情况下自动使用array_map进行过滤处理),否则会调用PHP内置的filter_var方法进行过滤处理,例如: - I('post.email','',FILTER_VALIDATE_EMAIL);. Y L' ^* [; D* S) [5 J a6 |
复制代码: B% J% w2 u8 E6 N8 \! p. h8 o ]
表示 会对$_POST['email'] 进行 格式验证,如果不符合要求的话,返回空字符串。
7 S3 n6 @4 `" x9 } ?4 q(关于更多的验证格式,可以参考 官方手册的filter_var用法。); }9 s6 y, Z# O, i/ U# `
或者可以用下面的字符标识方式: - I('post.email','','email');
( L) ~/ Z& Z2 U* \' [2 Z- g/ X0 Q 复制代码3 ]8 X2 m9 O9 ~9 O
可以支持的过滤名称必须是filter_list方法中的有效值(不同的服务器环境可能有所不同),可能支持的包括: - int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- email
- url
- number_int
- number_float
- magic_quotes
- callback
. E, @4 D, G4 E$ \ 复制代码$ _# M- Y) A. R
在有些特殊的情况下,我们不希望进行任何过滤,即使DEFAULT_FILTER已经有所设置,可以使用: - I('get.name','',NULL);6 b* O' h) j+ s
复制代码
4 [0 `: f# w1 C I; G一旦过滤参数设置为NULL,即表示不再进行任何的过滤。
2 i% m+ f: }" y; a, P0 r |