在扩展 php 函数时，需注意以下安全事项：验证输入、防止代码注入、权限检查、输出编码、缓存与过期、错误处理。实战案例：扩展 filter_var() 以验证输入，并在验证成功后清理输入。

PHP 函数扩展的安全注意事项

在扩展 PHP 函数时，必须考虑以下安全注意事项：

1. 输入验证

立即学习“PHP免费学习笔记（深入）”；

确保用户输入的数据有效并经过验证，以防止恶意输入。使用 filter_var()、preg_match() 和其他验证方法。

示例：

function validate_email($email)
{
    return filter_var($email, FILTER_VALIDATE_EMAIL);
}

2. 代码注入

防止通过用户输入或其他来源注入任意代码。使用 escapeshellarg() 或 escapeshellcmd() 对任何外部命令调用进行转义。

示例：

system(escapeshellcmd('ls -la'));

3. 权限检查

确保仅允许适当的用户执行函数。使用 posix_getpwuid() 或 posix_getpwnam() 检查权限。

示例：

if (posix_getpwuid(posix_geteuid())['name'] !== 'admin') {
    throw new Exception('Permission denied');
}

4. 输出编码

对函数输出进行编码，以防止跨站脚本 (XSS) 攻击。使用 htmlspecialchars() 或 json_encode() 进行编码。

示例：

echo htmlspecialchars($output);

5. 缓存和过期

如果函数结果在一段时间内保持相同，请使用缓存来提高性能。同时，考虑设置过期时间，以防止缓存过时的结果。

示例：

use SymfonyComponentCacheAdapterFilesystemAdapter;
$cache = new FilesystemAdapter();
$cacheItem = $cache->getItem('my_results');
if ($cacheItem->isHit()) {
    return $cacheItem->get();
} else {
    // 计算结果并存储在缓存中
    $cacheItem->set($results);
    $cacheItem->expiresAfter(600);
    $cache->save($cacheItem);
}

6. 错误处理

处理可能发生的错误并向用户提供有意义的消息。避免泄露敏感信息，例如内部错误或堆栈跟踪。

示例：

try {
    ...
} catch (Exception $e) {
    echo 'An error occurred. Please try again.';
    // Log the error for debugging
}

实战案例：

以下是一个扩展 PHP filter_var() 函数以验证和清理输入的实战案例：

function my_filter_var($value, $flags)
{
    // 验证输入的有效性
    if (!filter_var($value, $flags)) {
        throw new Exception('Invalid input');
    }
    
    // 清理输入
    return htmlspecialchars(trim($value));
}