输入变量
最后更新于:2022-04-02 01:49:32
可以通过`Request`对象完成全局输入变量的检测、获取和安全过滤,支持包括`$_GET`、`$_POST`、`$_REQUEST`、`$_SERVER`、`$_SESSION`、`$_COOKIE`、`$_ENV`等系统变量,以及文件上传信息。
为了方便说明,本篇内容的所有示例代码均使用`Facade`方式,因此需要首先引入
~~~
use think\facade\Request;
~~~
如果你使用的是依赖注入,请自行调整代码为动态调用即可。
主要内容包括:
[TOC=2,2]
## 检测变量是否设置
可以使用`has`方法来检测一个变量参数是否设置,如下:
~~~
Request::has('id','get');
Request::has('name','post');
~~~
变量检测可以支持所有支持的系统变量,包括`get/post/put/request/cookie/server/session/env/file`。
## 变量获取
变量获取使用`\think\Request`类的如下方法及参数:
>[info] ### 变量类型方法('变量名/变量修饰符','默认值','过滤方法')
变量类型方法包括:
|方法|描述|
|---|---|
|param|获取当前请求的变量|
|get|获取 $_GET 变量|
|post|获取 $_POST 变量|
|put|获取 PUT 变量|
|delete|获取 DELETE 变量|
|session|获取 $_SESSION 变量|
|cookie|获取 $_COOKIE 变量|
|request|获取 $_REQUEST 变量|
|server|获取 $_SERVER 变量|
|env|获取 $_ENV 变量|
|route|获取 路由(包括PATHINFO) 变量|
|file|获取 $_FILES 变量|
### 获取`PARAM`变量
`PARAM`类型变量是框架提供的用于自动识别当前请求的一种变量获取方式,是系统推荐的获取请求参数的方法,用法如下:
~~~
// 获取当前请求的name变量
Request::param('name');
// 获取当前请求的所有变量(经过过滤)
Request::param();
// 获取当前请求的所有变量(原始数据)
Request::param(false);
// 获取当前请求的所有变量(包含上传文件)
Request::param(true);
~~~
如果你使用了依赖注入的方式,可以更简单的方式获取请求变量。
~~~
namespace app\index\controller;
use think\Request;
class Index
{
public function index(Request $request)
{
// 获取name请求变量
return $request->name;
}
}
~~~
>[danger] param方法会把当前请求类型的参数和路由变量以及GET请求合并,并且路由变量是优先的。
其它的输入变量获取方法用法基本一致,以`post`方法为例主要有如下三种用法。
~~~php
Request::post('name'); // 获取某个post变量
Request::post(); // 获取经过全局过滤的全部post变量
Request::post(false); // 获取全部的post原始(未经全局过滤)变量
~~~
你无法使用**get方法获取路由变量**,例如当访问地址是
~~~
http://localhost/index.php/index/index/hello/name/thinkphp
~~~
下面的用法是错误的
~~~
echo Request::get('name'); // 输出为空
~~~
正确的用法是
~~~
echo Request::param('name'); // 输出thinkphp
echo Request::route('name'); // 输出thinkphp
~~~
>[danger] 变量名区分大小写,除了`server`和`env`方法的变量名不区分大小写(会自动转为大写后获取)。
## 默认值
获取输入变量的时候,可以支持默认值,例如当URL中不包含`$_GET['name']`的时候,使用下面的方式输出的结果比较。
~~~php
Request::get('name'); // 返回值为null
Request::get('name',''); // 返回值为空字符串
Request::get('name','default'); // 返回值为default
~~~
前面提到的方法都支持在第二个参数中传入默认值的方式。
## 变量过滤
>[danger] 框架默认没有设置任何全局过滤规则,你可以在应用配置文件中设置全局的过滤规则:
~~~
// 默认全局过滤方法 用逗号分隔多个
'default_filter' => 'htmlspecialchars',
~~~
也支持使用`Request`对象进行全局变量的获取过滤,过滤方式包括函数、方法过滤,以及PHP内置的Types of filters,我们可以设置全局变量过滤方法,支持设置多个过滤方法,例如:
~~~
Request::filter(['strip_tags','htmlspecialchars']),
~~~
也可以在获取变量的时候添加过滤方法,例如:
~~~
Request::get('name','','htmlspecialchars'); // 获取get变量 并用htmlspecialchars函数过滤
Request::param('username','','strip_tags'); // 获取param变量 并用strip_tags函数过滤
Request::post('name','','org\Filter::safeHtml'); // 获取post变量 并用org\Filter类的safeHtml方法过滤
~~~
可以支持传入多个过滤规则,例如:
~~~
Request::param('username','','strip_tags,strtolower'); // 获取param变量 并依次调用strip_tags、strtolower函数过滤
~~~
Request对象还支持PHP内置提供的Filter ID过滤,例如:
~~~
Request::post('email','',FILTER_VALIDATE_EMAIL);
~~~
框架对FilterID做了转换支持,因此也可以使用字符串的方式,例如:
~~~
Request::post('email','','email');
~~~
采用字符串方式定义`FilterID`的时候,系统会自动进行一次`filter_id`调用转换成`Filter`常量。
具体的字符串根据`filter_list`函数的返回值来定义。
> 需要注意的是,采用Filter ID 进行过滤的话,如果不符合过滤要求的话 会返回false,因此你需要配合默认值来确保最终的值符合你的规范。
例如,
~~~
Request::post('email','',FILTER_VALIDATE_EMAIL);
~~~
就表示,如果不是规范的`email`地址的话 返回空字符串。
如果当前不需要进行任何过滤的话,可以使用
~~~
// 获取get变量 并且不进行任何过滤 即使设置了全局过滤
Request::get('name', '', null);
~~~
>[danger] 对于body中提交的`json`对象,你无需使用`php://input`去获取,可以直接当做表单提交的数据使用,因为系统已经自动处理过了
## 获取部分变量
如果你只需要获取当前请求的部分参数,可以使用:
~~~
// 只获取当前请求的id和name变量
Request::only('id,name');
~~~
或者使用数组方式
~~~
// 只获取当前请求的id和name变量
Request::only(['id','name']);
~~~
>[danger] 采用`only`方法能够安全的获取你需要的变量,避免额外变量影响数据处理和写入。
`V5.1.3+`版本开始,only方法可以支持批量设置默认值,如下:
~~~
// 设置默认值
Request::only(['id'=>0,'name'=>'']);
~~~
表示`id`的默认值为0,`name`的默认值为空字符串。
默认获取的是当前请求参数(`PARAM`类型变量),如果需要获取其它类型的参数,可以在第二个参数传入,例如:
~~~
// 只获取GET请求的id和name变量
Request::only(['id','name'], 'get');
// 只获取POST请求的id和name变量
Request::only(['id','name'], 'post');
~~~
也支持排除某些变量后获取,例如
~~~
// 排除id和name变量
Request::except('id,name');
~~~
或者使用数组方式
~~~
// 排除id和name变量
Request::except(['id','name']);
~~~
同样支持指定变量类型获取:
~~~
// 排除GET请求的id和name变量
Request::except(['id','name'], 'get');
// 排除POST请求的id和name变量
Request::except(['id','name'], 'post');
~~~
## 变量修饰符
支持对变量使用修饰符功能,可以一定程度上简单过滤变量,更为严格的过滤请使用前面提过的变量过滤功能。
用法如下:
>[info] ### Request::变量类型('变量名/修饰符');
默认的变量修饰符是`/s`(`V5.1.16+`版本开始取消默认修饰符),因此默认的单个变量的取值返回的都是字符串,如果需要传入字符串之外的变量可以使用下面的修饰符,包括:
| 修饰符 | 作用 |
| --- | --- |
| s | 强制转换为字符串类型 |
| d | 强制转换为整型类型 |
| b | 强制转换为布尔类型 |
| a | 强制转换为数组类型 |
| f | 强制转换为浮点类型 |
下面是一些例子:
~~~
Request::get('id/d');
Request::post('name/s');
Request::post('ids/a');
~~~
>[danger] 如果你要获取的数据为数组,请一定注意要加上 `/a` 修饰符才能正确获取到。
## 修改变量
`V5.1.12+`版本开始,可以(通常是在中间件里面)设置请求变量的值。
~~~
name) {
$request->name = 'ThinkPHP';
}
return $next($request);
}
}
~~~
## 助手函数
为了简化使用,还可以使用系统提供的`input`助手函数完成上述大部分功能。
判断变量是否定义
~~~
input('?get.id');
input('?post.name');
~~~
获取PARAM参数
~~~
input('param.name'); // 获取单个参数
input('param.'); // 获取全部参数
// 下面是等效的
input('name');
input('');
~~~
获取GET参数
~~~
// 获取单个变量
input('get.id');
// 使用过滤方法获取 默认为空字符串
input('get.name');
// 获取全部变量
input('get.');
~~~
使用过滤方法
~~~
input('get.name','','htmlspecialchars'); // 获取get变量 并用htmlspecialchars函数过滤
input('username','','strip_tags'); // 获取param变量 并用strip_tags函数过滤
input('post.name','','org\Filter::safeHtml'); // 获取post变量 并用org\Filter类的safeHtml方法过滤
~~~
使用变量修饰符
~~~
input('get.id/d');
input('post.name/s');
input('post.ids/a');
~~~
';