PHP过滤数组空值安全处理方法

array_filter() 默认移除所有falsy值，易误删0、"0"等有效数据；应显式判断null和空字符串，多维数组需递归处理，JSON输入要区分null与""，推荐用filter_input_array()源头过滤。

用 array_filter() 去空值但别踩默认行为的坑

array_filter() 看起来最直接，但它默认会移除所有“falsy”值——包括 0、"0"、false、null、空字符串 ""，而这些在业务中未必是“无效输入”。比如用户填了商品数量 0，或开关状态 "0"，直接过滤就丢数据了。

安全做法是显式判断空字符串和 null，保留其他值：

function filterEmptyStrings($arr) {
    return array_filter($arr, function($v) {
        return !is_null($v) && $v !== '';
    });
}

• 别依赖默认回调，必须传自定义函数
• 用 === 严格比较 '' 和 null，避免类型转换误判
• 如果数组含嵌套结构（如多维表单），array_filter() 不递归，需手动处理

处理多维数组时用递归 + 类型校验

用户提交的表单数组常是嵌套的（如 user[profile][name] 解析后为 ['user' => ['profile' => ['name' => '']]），这时 array_filter() 一层失效。

递归清理要兼顾安全与语义：

function filterArrayRecursively($arr) {
    $result = [];
    foreach ($arr as $k => $v) {
        if (is_array($v)) {
            $filtered = filterArrayRecursively($v);
            if (!empty($filtered)) { // 只有子数组非空才保留键
                $result[$k] = $filtered;
            }
        } elseif ($v !== '' && $v !== null) {
            $result[$k] = $v;
        }
    }
    return $result;
}

• 递归后检查 !empty($filtered)，避免留下空数组占位
• 不自动 trim 字符串——trim 属于清洗（sanitization），不是过滤（filtering），应单独做且明确时机
• 若字段预期为整数/布尔等，应在过滤后、入库前用 filter_var() 校验类型，而非靠过滤兜底

配合 filter_input_array() 做源头过滤

比起事后清理整个 $_POST，更推荐在读取阶段就定义规则。PHP 内置的 filter_input_array() 支持按字段指定过滤器，天然防绕过。

例如只允许非空字符串和整数：

$rules = [
    'username' => ['filter' => FILTER_SANITIZE_STRING, 'flags' => FILTER_FLAG_STRIP_LOW],
    'age'      => ['filter' => FILTER_VALIDATE_INT, 'options' => ['min_range' => 0]],
];
$input = filter_input_array(INPUT_POST, $rules);

• FILTER_SANITIZE_STRING 已在 PHP 8.1+ 废弃，生产环境改用 FILTER_SANITIZE_SPECIAL_CHARS 或自行 htmlspecialchars()
• FILTER_VALIDATE_INT 遇到空字符串或 null 会返回 false，需额外判断是否缺失字段
• 该函数不处理嵌套键名（如 user[name]），需先用 filter_var() 逐个提取或预展平数组

警惕 JSON 输入里的空值陷阱

当接口接收 application/json 请求体时，json_decode($_POST['data'], true) 后的数组可能含 null、""，甚至 0.0 或 []——这些都属于合法 JSON 值，但业务上可能需排除。

关键点在于：JSON 解析后的 null 是真正的 null，而表单提交的空字段通常是空字符串。二者来源不同，过滤逻辑也应区分。

• 对 JSON 输入，优先用 json_last_error() 确保解析成功，再过滤；失败时直接拒收，不尝试“修复”
• 不要用 empty() 判断 JSON 解析后的值——empty([]) 为 true，但空数组可能是有效语义（如“无标签”）
• 若需统一处理多种输入源（表单/JSON/API），建议抽象出输入适配层，在进入业务逻辑前转为标准结构

实际项目里，空值过滤从来不是孤立操作。它和字段语义、输入来源、后续校验 tightly coupled，漏掉任一环都可能让 0 变成 null，或让 null 被当成有效值插入数据库。