數據驗證是根據具有確定結果的預定義模式(或模式)分析數據的過程:有效或無效。
通常這適用于來自外部來源的數據,例如用戶輸入和通過API調用Web服務。
數據驗證的簡單示例:
- 檢查所需字段未留空
- 檢查輸入的電話號碼只包含數字和標點符號
- 檢查輸入的郵政編碼是否是有效的郵政編碼
- 檢查數量字段是否大于0
- 數據驗證應盡早進行。 這意味著在執行任何操作之前驗證數據。
>[warning] 注意:驗證可以通過使用前端的JavaScript和后端使用PHP來執行。
## 驗證數據
至少有三種方式:內置PHP函數,核心WordPress函數和您編寫的自定義函數。
## 內置PHP功能
使用許多內置的PHP函數進行基本驗證,包括:
- isset()和empty()用于檢查變量是否存在且不為空
- mb_strlen()或strlen()用于檢查字符串是否具有預期的字符數
- preg_match(),strpos()用于檢查其他字符串中某些字符串的出現情況
- count()用于檢查數組中有多少項
- in_array()用于檢查數組中是否存在某些內容
## 核心WordPress功能
WordPress提供了許多有用的功能,有助于驗證不同類型的數據。 以下是幾個例子:
- is_email()將驗證電子郵件地址是否有效。
- term_exists()檢查是否存在標簽,類別或其他分類術語。
- username_exists()檢查用戶名是否存在。
- validate_file()將驗證輸入的文件路徑是否為真實路徑(但不是文件是否存在)。
檢查條件標簽的列表以獲得更多類似的功能。
搜索具有以下名稱的函數:`*_exists()`,`*_validate()`,并且是`_*()`。 并非所有這些都是驗證功能,但許多都是有幫助的。
## 自定義PHP和JavaScript函數
您可以編寫自己的PHP和JavaScript函數,并將它們包含在您的插件中。 編寫驗證函數時,您需要將其命名為一個問題(例如:is_phone,is_available,is_us_zipcode)。
該函數應該返回一個布爾值(true或false),具體取決于數據是否有效。 這將允許使用該功能作為條件。
## 示例1
假設您有一個用戶提交的美國郵政編碼輸入字段。
```
<input id="wporg_zip_code" type="text" maxlength="10" name="wporg_zip_code">
```
文本字段允許最多10個字符的輸入,對可以使用的字符類型沒有限制。 用戶可以輸入一些有效的東西,如1234567890,或者像eval()一樣無效(和邪惡)。
我們輸入域中的maxlength屬性僅由瀏覽器強制執行,因此您仍然需要驗證服務器上輸入的長度。 如果不這樣做,攻擊者可以改變maxlength值。
通過使用驗證,我們可以確保我們只接受有效的郵政編碼。
首先,您需要編寫一個功能來驗證美國郵政編碼:
```
<?php function is_us_zip_code($zip_code) { // scenario 1: empty if (empty($zip_code)) { return false; } // scenario 2: more than 10 characters if (strlen(trim($zip_code)) > 10) {
return false;
}
// scenario 3: incorrect format
if (!preg_match('/^\d{5}(\-?\d{4})?$/', $zip_code)) {
return false;
}
// passed successfully
return true;
}
```
處理表單時,您的代碼應檢查wporg_zip_code字段,并根據結果執行操作:
```
if ( isset( $_POST['wporg_zip_code'] ) && is_us_zip_code( $_POST['wporg_zip_code'] ) ) {
// your action
}
```
## 例2
假設您要查詢數據庫中的某些帖子,并希望讓用戶對查詢結果進行排序。
該示例代碼通過使用內置的PHP函數in_array將允許的排序鍵的數組進行比較來檢查輸入的排序鍵(存儲在“orderby”輸入參數中)的有效性。 這樣可以防止用戶傳遞惡意數據并潛在地損害網站。
在對數組檢查傳入排序鍵之前,將密鑰傳遞到內置的WordPress功能sanitize_key。 此功能確保了鍵是小寫(in_array執行區分大小寫的搜索)。
將“true”傳遞給in_array的第三個參數可以進行嚴格的類型檢查,這樣就可以使功能不僅可以比較值和值類型。 這允許代碼確定輸入的排序鍵是字符串,而不是其他數據類型。
```
<?php
$allowed_keys = ['author', 'post_author', 'date', 'post_date'];
$orderby = sanitize_key( $_POST['orderby'] );
if ( in_array( $orderby, $allowed_keys, true ) ) {
// modify the query to sort by the orderby key
}
```
- 簡介
- 主題開發
- WordPress許可證
- 什么是主題
- 開發環境
- 主題開發示例
- 主題基礎
- 模板文件
- 主樣式表(style.css)
- 文章類型
- 規劃主題文件
- 模板層級
- 模板標簽
- 循環
- 主題函數
- 連接主題文件和目錄
- 使用CSS和JavaScript
- 條件標簽
- 類別,標簽和自定義分類
- 模板文件
- 內容模板文件
- 頁面模板文件
- 附件模板文件
- 自定義內容類型
- 部分和其他模板文件
- 評論模板
- 分類模板
- 404頁面
- 主題功能
- 核心支持的功能
- 管理菜單
- 自定義Headers
- 自定義Logo
- 文章格式
- 置頂文章
- Sidebars
- Widgets
- 導航菜單
- 分頁
- 媒體
- Audio
- Images
- Galleries
- Video
- 精選圖片和縮略圖
- 國際化
- 本地化
- 輔助功能
- 主題選項 – 自定義API
- 定制對象
- 改進用戶體驗的工具
- 定制JavaScript API
- JavaScript / Underscore.js渲染的自定義控件
- 高級用法
- 主題安全
- 數據消毒/逃避
- 數據驗證
- 使用隨機數
- 常見漏洞
- 高級主題
- 子主題
- UI最佳實踐
- JavaScript最佳做法
- 主題單元測試
- 驗證你的主題
- Plugin API Hooks
- 發布你的主題
- 所需的主題文件
- 測試
- 主題評論指南
- 寫文檔
- 提交你的主題到WordPress.org
- 參考文獻
- 模板標簽列表
- 條件標簽列表
- 編碼標準
- HTML編碼標準
- CSS編碼標準
- JavaScript編碼標準
- PHP編碼標準
- 插件開發
- 插件開發簡介
- 什么是插件
- 插件基礎
- 頭部要求
- 包括軟件許可證
- 啟用 / 停用 Hooks
- 卸載方法
- 最佳做法
- 插件安全
- 檢查用戶功能
- 數據驗證
- 保護輸入
- 保護輸出
- 隨機數
- Hooks
- Actions
- Filters
- 自定義Hooks
- 高級主題
- 管理菜單
- 頂級菜單
- 子菜單
- 短代碼
- 基本短碼
- 封閉短碼
- 帶參數的短代碼
- TinyMCE增強型短碼
- 設置
- 設置API
- 使用設置API
- 選項API
- 自定義設置頁面
- 元數據
- 管理帖子元數據
- 自定義元數據
- 渲染元數據
- 自定義文章類型
- 注冊自定義文章類型
- 使用自定義文章類型
- 分類
- 使用自定義分類
- 在WP 4.2+中使用“split術語”
- 用戶
- 創建和管理用戶
- 使用用戶元數據
- 角色和功能
- HTTP API
- JavaScript
- jQuery
- Ajax
- 服務器端PHP和入隊
- Heartbeat API
- 概要
- 計劃任務
- 了解WP-Cron計劃
- 安排WP-Cron 事件
- 將WP-Cron掛接到系統任務計劃程序中
- WP-Cron簡單測試
- 國際化
- 本地化
- 如何國際化您的插件
- 國際化安全
- WordPress.org
- 詳細插件指南
- 規劃您的插件
- 如何使用Subversion
- 插件開發者常見問題
- 開發工具
- Debug Bar 和附加組件
- 輔助插件
- REST API手冊
- 資源
- 文章
- 文章修訂
- 文章類型
- 文章狀態
- 類別
- 標簽
- 頁面
- 評論
- 分類
- 媒體
- 用戶
- 設置
- 使用REST API
- 全局參數
- 分頁
- 鏈接和嵌入
- 發現
- 認證
- 經常問的問題
- 骨干JavaScript客戶端
- 客戶端庫
- 擴展REST API
- 添加自定義端點
- 自定義內容類型
- 修改回應
- 模式
- 詞匯表
- 路由和端點
- 控制器類