GET vs. POST
GET 和 POST 都创建数组(例如,array( key =>value, key2 => value2, key3 => value3, ...))。此数组包含键/值对,其中的键是表单控件的名称,而值是来自用户的输入数据。
GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。
$_GET 是通过 URL 参数传递到当前脚本的变量数组。
$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。
何时使用 GET?
通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。
GET 可用于发送非敏感的数据。
注释:绝不能使用 GET 来发送密码或其他敏感信息!
何时使用 POST?
通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。
此外 POST 支持高阶功能,比如在向服务器上传文件时进行multi-part 二进制输入。
不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。
提示:开发者偏爱 POST 来发送表单数据。
表单实例:
method 定义表单请求类型post或get
<html>
<body>
<form action="index.php"method="post">
Name: <input type="text"name="name"><br>
E-mail: <input type="text"name="email"><br>
<input type="submit"name="website"><br>
</body>
</html>
<?php
session_start();
$a = 11;
if($_POST['name'] != $_POST['email'])
{
echo$_POST['name'],"is a sb!";
}
?>
$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
htmlspecialchars() 函数把特殊字符转换为 HTML 实体。这意味着 < 和 > 之类的 HTML 字符会被替换为 < 和 > 。这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站点脚本攻击)对代码进行利用。
关于 PHP 表单安全性的重要提示
$_SERVER["PHP_SELF"] 变量能够被黑客利用!
如果您的页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。
提示:跨站点脚本(Cross-site scripting,XSS)是一种计算机安全漏洞类型,常见于 Web 应用程序。XSS 能够使攻击者向其他用户浏览的网页中输入客户端脚本。
假设我们的一张名为 "test_form.php" 的页面中有如下表单:
<form method="post" action="<?phpecho $_SERVER["PHP_SELF"];?>">
现在,如果用户进入的是地址栏中正常的 URL:"http://www.example.com/test_form.php",上面的代码会转换为:
<form method="post"action="test_form.php">
不过,如果用户在地址栏中键入了如下 URL:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
在这种情况下,上面的代码会转换为:
<form method="post"action="test_form.php"/><script>alert('hacked')</script>
<script>标签内能够添加任何 JavaScript 代码!黑客能够把用户重定向到另一台服务器上的某个文件,该文件中的恶意代码能够更改全局变量或将表单提交到其他地址以保存用户数据
如何避免 $_SERVER["PHP_SELF"] 被利用?
通过使用 htmlspecialchars() 函数能够避免$_SERVER["PHP_SELF"] 被利用。
表单代码是这样的:
<form method="post" action="<?phpecho htmlspecialchars($_SERVER["PHP_SELF"]);?>">
htmlspecialchars() 函数把特殊字符转换为 HTML 实体。现在,如果用户试图利用 PHP_SELF 变量,会导致如下输出:
<form method="post"action="test_form.php/"><script>alert('hacked')</script>">
无法利用,没有危害!
通过 PHP 验证表单数据
我们要做的第一件事是通过 PHP 的 htmlspecialchars() 函数传递所有变量。
在用户提交该表单时,我们还要做两件事:
1. (通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
2. (通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)
<?php
// 定义变量并设置为空值
$name = $email = $gender = $comment = $website ="";
if ($_SERVER["REQUEST_METHOD"] =="POST") {
$name =test_input($_POST["name"]);
$email =test_input($_POST["email"]);
$website =test_input($_POST["website"]);
$comment =test_input($_POST["comment"]);
$gender =test_input($_POST["gender"]);
}
function test_input($data) {
$data =trim($data);
$data =stripslashes($data);
$data =htmlspecialchars($data);
return $data;
}
?>
在脚本开头,我们检查表单是否使用 $_SERVER["REQUEST_METHOD"] 进行提交。如果 REQUEST_METHOD 是 POST,那么表单已被提交 - 并且应该对其进行验证。如果未提交,则跳过验证并显示一个空白表单。
PHP 表单验证 - 必填字段
if ($_SERVER["REQUEST_METHOD"] =="POST") {//判断是否拿到请求
if(empty($_POST["name"])) { //判断输入的字符是否为空
$nameErr ="Name is required";
} else {
$name =test_input($_POST["name"]);
}
}
提示信息显示
Name: <input type="text"name="name">
<span class="error">* <?php echo$nameErr;?></span> //字段为空的话看着就好像是没有提示,否则显示错误提示信息
PHP - 验证名字
$name = test_input($_POST["name"]);
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
$nameErr = "只允许字母和空格!";
}
注释:preg_match() 函数检索字符串的模式,如果模式存在则返回 true,否则返回 false。
PHP - 验证 E-mail
$email = test_input($_POST["email"]);
if(!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr ="无效的email 格式!";
}
PHP - 验证 URL
$website = test_input($_POST["website"]);
if(!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
=~_|]/i",$website)) {
$websiteErr ="无效的URL";
}
实例:
<?php
// 定义变量并设置为空值
$nameErr = $emailErr = $genderErr = $websiteErr ="";
$name = $email = $gender = $comment = $website ="";
if ($_SERVER["REQUEST_METHOD"] =="POST") {
if(empty($_POST["name"])) {
$nameErr ="Name is required";
} else {
$name =test_input($_POST["name"]);
// 检查名字是否包含字母和空格
if(!preg_match("/^[a-zA-Z ]*$/",$name)) {
$nameErr ="Only letters and white space allowed";
}
}
if(empty($_POST["email"])) {
$emailErr ="Email is required";
} else {
$email =test_input($_POST["email"]);
// 检查电邮地址语法是否有效
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)){
$emailErr ="Invalid email format";
}
}
if(empty($_POST["website"])) {
$website ="";
} else {
$website =test_input($_POST["website"]);
// 检查URL 地址语言是否有效(此正则表达式同样允许 URL 中的下划线)
if(!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
=~_|]/i",$website)) {
$websiteErr ="Invalid URL";
}
}
if(empty($_POST["comment"])) {
$comment ="";
} else {
$comment =test_input($_POST["comment"]);
}
if(empty($_POST["gender"])) {
$genderErr ="Gender is required";
} else {
$gender =test_input($_POST["gender"]);
}
}
?>
PHP - 保留表单中的值
如需在用户点击提交按钮后在输入字段中显示值,我们在以下输入字段的 value 属性中增加了一小段 PHP 脚本:name、email 以及 website。在 comment 文本框字段中,我们把脚本放到了 <textarea> 与 </textarea> 之间。这些脚本输出 $name、$email、$website 和 $comment 变量的值。
然后,我们还需要显示选中了哪个单选按钮。对此,我们必须操作 checked 属性(而非单选按钮的 value 属性):
Name: <input type="text"name="name" value="<?php echo $name;?>">
E-mail: <input type="text"name="email" value="<?php echo $email;?>">
Website: <input type="text"name="website" value="<?php echo $website;?>">
Comment: <textarea name="comment"rows="5" cols="40"><?php echo$comment;?></textarea>
Gender:
<input type="radio" name="gender"
<?php if (isset($gender) &&$gender=="female") echo "checked";?>
value="female">Female
<input type="radio" name="gender"
<?php if (isset($gender) &&$gender=="male") echo "checked";?>
value="male">Male