在Web开发中，用户提交的表单数据往往是系统安全的第一道防线。如果不对输入内容进行有效验证，轻则导致程序异常，重则引发SQL注入、XSS攻击等严重安全问题。CodeIgniter作为一款轻量级PHP框架，内置了强大且灵活的表单验证类（Form Validation），让开发者能够高效、安全地处理用户输入。

验证类的基本使用

CodeIgniter的表单验证功能由form_validation类提供。在使用前，需要先加载该类：

php $this->load->library('form_validation');

通常我们会在控制器的方法中调用验证逻辑。例如，处理用户注册表单时：

php
public function register() {
$this->load->library('form_validation');

$this->form_validation->set_rules('username', '用户名', 'required|min_length[5]|max_length[20]');
$this->form_validation->set_rules('email', '邮箱', 'required|valid_email|is_unique[users.email]');
$this->form_validation->set_rules('password', '密码', 'required|min_length[6]');

if ($this->form_validation->run() == FALSE) {
    // 验证失败，重新显示表单
    $this->load->view('register_form');
} else {
    // 验证通过，执行注册逻辑
    $this->user_model->create_user();
    redirect('welcome/success');
}

}

这里set_rules()方法是核心，它接收三个参数：字段名、字段别名（用于错误提示）、验证规则。规则之间用竖线“|”分隔，顺序执行。

常用验证规则详解

CodeIgniter提供了丰富的内置规则，覆盖大多数常见场景：

• required：必填项
• min_length[6]：最小长度为6
• max_length[100]：最大长度限制
• valid_email：验证是否为合法邮箱格式
• numeric：只能为数字
• alpha：只能包含字母
• alpha_numeric：字母和数字组合
• matches[password_confirm]：与另一字段值一致（常用于确认密码）
• is_unique[table.field]：数据库中唯一（需启用数据库类）

例如，设置密码确认字段：

php $this->form_validation->set_rules('password_confirm', '确认密码', 'required|matches[password]');

当用户两次输入不一致时，系统会自动返回错误信息。

自定义错误消息

默认的错误提示较为通用，我们可以自定义更友好的提示语：

php $this->form_validation->set_message('required', '%s 不能为空'); $this->form_validation->set_message('min_length', '%s 至少需要 %s 个字符'); $this->form_validation->set_message('valid_email', '请输入有效的邮箱地址');

也可以在set_rules中单独指定某个字段的错误消息：

php $this->form_validation->set_rules('username', '用户名', 'required', array('required' => '请填写用户名'));

创建自定义验证规则

对于特殊业务需求，可以编写自定义验证函数。比如验证手机号码：

php
$this->formvalidation->setrules('phone', '手机号', 'callbackcheckphone');

public function checkphone($phone) { if (pregmatch('/^1[3-9]\d{9}$/', $phone)) {
return TRUE;
} else {
$this->formvalidation->setmessage('check_phone', '请输入正确的手机号码');
return FALSE;
}
}

回调函数必须返回布尔值，并通过set_message设置错误提示。

验证组与配置文件

当项目中存在多个复杂表单时，可将验证规则写入配置文件以提高可维护性。创建config/form_validation.php：

php $config = array( 'user/register' => array( array( 'field' => 'username', 'label' => '用户名', 'rules' => 'required|min_length[5]' ), array( 'field' => 'email', 'label' => '邮箱', 'rules' => 'required|valid_email' ) ) );

然后在控制器中调用：

php $this->form_validation->run('user/register');

安全与最佳实践

表单验证不仅是格式校验，更是安全防护的重要环节。建议始终结合以下措施：

1. 使用xss_clean过滤潜在恶意脚本；
2. 对数据库操作使用查询绑定或Active Record；
3. 敏感字段如密码应使用password_hash()加密存储；
4. 验证失败时避免泄露过多系统信息。

CodeIgniter的验证机制简洁却不失强大，合理运用能让开发更高效，系统更健壮。掌握其核心用法并结合实际业务灵活扩展，是每个CI开发者必备的技能。