关于如何确保数据过滤无法被绕过有各种各样的观点，今天我们就来看看

PHP 的数据过滤，

对你一定会有帮助的。
在指南的开始，我们说过数据过滤在任何语言、任何平台上都是

WEB 应用安全的基石。这

包含检验输入到应用的数据以及从应用输出的数据，而一个好的软件设计可以帮助开发人
员做到：
确保数据过滤无法被绕过，
确保不合法的信息不会影响合法的信息，并且
识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点，而其中的两种观点比其他更加通用
并可提供更高级别的保障。
调度方法
这种方法是用一个单一的

 php 脚本调度（通过 URL）。其他任何操作在必要的时候使用

include 或 require 包含进来。这种方法一般需要每个 URL 都传递一个单独的 GET 变量用于
调度。这个

GET 变量可以被认为是用来替代脚本名称的更加简化的设计。例如：

http:

//a.org/dispatch.php?task=PRint_formdispatch.php 是唯一的根文件(Document root)。它可

以让开发者做两件非常重要的事情：

在

dispatch.php 最开始实现一些全局的安全处理，并且确保这些处理不可以被绕过。

容易确定在必要的地方进行数据过滤，特别是一些特殊目的的控制流操作中。
看下面的例子以便进一步讨论

dispatch.php 脚本:

<?php

/* 全局安全处理 */switch

 ($_GET['task']){

case

 'print_form':include 

'/inc/presentation/form.inc';

break

;

case

 'process_form':$form_valid = 

false

;include 

'/inc/logic/process.inc';

if

 ($form_valid){include '/inc/presentation/end.inc';}

else

{include 

'/inc/presentation/form.inc';}

break

;

default

:include '/inc/presentation/index.inc';

break

;}?>如果这是

唯一的可公开访问到的

 PHP 脚本，则可以确信的一点是这个程序的设计可以确保在最开始

的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如，不需要
浏览整个代码就可以容易的知道：当

$form_valid 为

true

时，

end.inc 是唯一显示给用户的；

由于它在

process.inc 被包含之前，并刚刚初始化为

false

，可以确定的是

process.inc 的内部

逻辑会将设置它为

true

；否则表单将再次显示（可能会显示相关的错误信息）。

注意
如果你使用目录定向文件，如

index.php（代替 dispatch.php），你可以像这样使用 URL 地

址：

http:

//a.org/?task=print_form。

你还可以使用

 ApacheForceType 重定向或者 mod_rewrite 来调整 URL 地址：

http:

//a.org/app/print-form。

包含方法
另外一种方式是使用单独一个模块，这个模块负责所有的安全处理。这个模块被包含在所有
公开的

 PHP 脚本的最前端（或者非常靠前的部分）。参考下面的脚本 security.inc

代码如下

:

 
<?phpswitch ($_POST['form']){

case

 'login':$allowed = array();$allowed[] = 'form';$allowed[] = 

'username';$allowed[] = 'passWord';$sent = array_keys($_POST);

if

 ($allowed == $sent){include 

'/inc/logic/process.inc';}

break

;}?>

 
在本例中，每个提交过来的表单都认为应当含有

form 这个唯一验证值，并且 security.inc 独

立处理表单中

0 需要过滤的数据。实现这个要求的 HTML 表单如下所示：