php提交页面处理,【PHP基础】PHP与Web页面交互（表单处理）

最新推荐文章于 2021-09-23 11:37:28 发布

吟澜

最新推荐文章于 2021-09-23 11:37:28 发布

阅读量1.3k

点赞数

文章标签： php提交页面处理

1、$_GET 和 $_POST 用于收集表单数据(form-data)

用HTTP POST方法发送提交数据。

AAffA0nNPuCLAAAAAElFTkSuQmCC

Name:
E-mail:

AAffA0nNPuCLAAAAAElFTkSuQmCC

当用户填写此表单并点击提交按钮后，表单数据会发送到名为 "welcome.php" 的 PHP 文件供处理。

如需显示出被提交的数据，您可以简单地输出(echo)所有变量。"welcome.php" 文件是这样的：

AAffA0nNPuCLAAAAAElFTkSuQmCC

<?php echo $_POST["name"]; ?>
Your email address is: <?php echo $_POST["email"]; ?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

输出：Welcome John

Your email address is john.doe@example.com

用 HTTP GET 方法发送提交数据(结果相同)。

AAffA0nNPuCLAAAAAElFTkSuQmCC

Name:
E-mail:

AAffA0nNPuCLAAAAAElFTkSuQmCC

"welcome_get.php" 是这样的：

AAffA0nNPuCLAAAAAElFTkSuQmCC

<?php echo $_GET["name"]; ?>
Your email address is: <?php echo $_GET["email"]; ?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

注意：为了保障脚本安全，防止脚本出现漏洞。您需要对表单提交的数据进行危险字符过滤转换(验证)处理。

2、GET 和 POST提交数据的联系与区别

1.GET vs. POST 提交数据原理

GET 和 POST 都创建数组(例如，array( key => value, key2 => value2, key3 => value3, ...))。此数组包含键/值对，其中的键是表单控件的名称，而值是来自用户的输入数据。

GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量，这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码，您能够从任何函数、类或文件访问它们。

$_GET 是通过 URL 参数传递到当前脚本的变量数组。

$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。

2.何时使用 GET？

通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过，由于变量显示在 URL 中，把页面添加到书签中也更为方便。

GET 可用于发送非敏感的数据。

注释：绝不能使用 GET 来发送密码或其他敏感信息！

3.何时使用 POST？

通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中)，并且对所发送信息的数量也无限制。

此外 POST 支持高阶功能，比如在向服务器上传文件时进行 multi-part 二进制输入。

不过，由于变量未显示在 URL 中，也就无法将页面添加到书签。

提示：开发者偏爱 POST 来发送表单数据。

3、表单危险字符过滤处理

上面的表单使用如下验证规则：字段验证规则

Name必需。必须包含字母和空格。

E-mail必需。必须包含有效的电子邮件地址(包含 @ 和 .)。

Website可选。如果选填，则必须包含有效的 URL。

Comment可选。多行输入字段(文本框)。

Gender必需。必须选择一项。

表单的 HTML 代码是这样的，当提交此表单时，通过 method="post" 发送表单数据。

什么是 $_SERVER["PHP_SELF"] 变量？

$_SERVER["PHP_SELF"] 是一种超全局变量，它返回当前执行脚本的文件名。

因此，$_SERVER["PHP_SELF"] 将表单数据发送到页面本身，而不是跳转到另一张页面。这样，用户就能够在表单页面获得错误提示信息。

通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用。

什么是 htmlspecialchars() 函数？

htmlspecialchars() 函数把特殊字符转换为 HTML 实体。这意味着 < 和 > 之类的 HTML 字符会被替换为 < 和 > 。这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站点脚本攻击)对代码进行利用。

4、完整的 PHP 验证表单数据代码

我们要做的第一件事是通过 PHP 的 htmlspecialchars() 函数传递所有变量。

在我们使用 htmlspecialchars() 函数后，如果用户试图在文本字段中提交以下内容：

- 代码不会执行，因为会被保存为转义代码，就像这样：<script>location.href('http://www.hacked.com')</script>

现在这条代码显示在页面上或 e-mail 中是安全的。

在用户提交该表单时，我们还要做两件事：(通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)

(通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)

接下来我们创建一个检查函数(相比一遍遍地写代码，这样效率更好)。我们把函数命名为 test_input()。

现在，我们能够通过 test_input() 函数检查每个 $_POST 变量，脚本是这样的：

AAffA0nNPuCLAAAAAElFTkSuQmCC <?php // 定义变量并设置为空值$name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") { $name = test_input($_POST["name"]); $email = test_input($_POST["email"]); $website = test_input($_POST["website"]); $comment = test_input($_POST["comment"]); $gender = test_input($_POST["gender"]);

}function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data;

}?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

请注意在脚本开头，我们检查表单是否使用 $_SERVER["REQUEST_METHOD"] 进行提交。如果 REQUEST_METHOD 是 POST，那么表单已被提交 - 并且应该对其进行验证。如果未提交，则跳过验证并显示一个空白表单。

5、可选、必选输入字段的验证和错误信息的显示

在下面的代码中我们增加了一些新变量：$nameErr、$emailErr、$genderErr 以及 $websiteErr。这些错误变量会保存被请求字段的错误消息。我们还为每个 $_POST 变量添加了一个 if else 语句。这条语句检查 $_POST 变量是否为空(通过 PHP empty() 函数)。如果为空，则错误消息会存储于不同的错误变量中。如果不为空，则通过 test_input() 函数发送用户输入数据：

AAffA0nNPuCLAAAAAElFTkSuQmCC <?php // 定义变量并设置为空值$nameErr = $emailErr = $genderErr = $websiteErr = "";$name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") { if (empty($_POST["name"])) { $nameErr = "Name is required";

} else { $name = test_input($_POST["name"]);

} if (empty($_POST["email"])) { $emailErr = "Email is required";

} else { $email = test_input($_POST["email"]);

} if (empty($_POST["website"])) { $website = "";

} else { $website = test_input($_POST["website"]);

} if (empty($_POST["comment"])) { $comment = "";

} else { $comment = test_input($_POST["comment"]);

} if (empty($_POST["gender"])) { $genderErr = "Gender is required";

} else { $gender = test_input($_POST["gender"]);

}

}?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

6、显示错误消息

在 HTML 表单中，我们在每个被请求字段后面增加了一点脚本。如果用户未填写必填字段就试图提交表单，会生成恰当的错误消息。

AAffA0nNPuCLAAAAAElFTkSuQmCC

">Name:

* <?php echo $nameErr;?>

E-mail:

* <?php echo $emailErr;?>

Website:

Comment:

Gender:

FemaleMale* <?php echo $genderErr;?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

7、验证 E-mail 和 URL格式

使用正则表达式和preg_match() 函数检索字符串的模式，如果模式存在则返回 true，否则返回 false

} else { $name = test_input($_POST["name"]); // 检查名字是否包含字母和空格

if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "Only letters and white space allowed";

}

} if (empty($_POST["email"])) { $emailErr = "Email is required";

} else { $email = test_input($_POST["email"]); // 检查电邮地址语法是否有效

if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "Invalid email format";

}

} if (empty($_POST["website"])) { $website = "";

} else { $website = test_input($_POST["website"]); // 检查 URL 地址语言是否有效(此正则表达式同样允许 URL 中的下划线)

if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%

=~_|]/i",$website)) { $websiteErr = "Invalid URL";

}

} if (empty($_POST["comment"])) { $comment = "";

} else { $comment = test_input($_POST["comment"]);

} if (empty($_POST["gender"])) { $genderErr = "Gender is required";

} else { $gender = test_input($_POST["gender"]);

}

}?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

8、用户提交表单后保留输入字段中的值

如需在用户点击提交按钮后在输入字段中显示值，我们在以下输入字段的 value 属性中增加了一小段 PHP 脚本：name、email 以及 website。在 comment 文本框字段中，我们把脚本放到了与之间。这些脚本输出 $name、$email、$website 和 $comment 变量的值。

然后，我们还需要显示选中了哪个单选按钮。对此，我们必须操作 checked 属性(而非单选按钮的 value 属性)：

AAffA0nNPuCLAAAAAElFTkSuQmCC Name: ">E-mail: ">Website: ">Comment: <?php echo $comment;?>Gender:

<?php if (isset($gender) && $gender=="female") echo "checked";?>value="female">Female

<?php if (isset($gender) && $gender=="male") echo "checked";?>value="male">Male

AAffA0nNPuCLAAAAAElFTkSuQmCC

最后完整代码

AAffA0nNPuCLAAAAAElFTkSuQmCC HTML>

.error {color: #FF0000;}

} else { $name = test_input($_POST["name"]); // 检查姓名是否包含字母和空白字符

if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "只允许字母和空格";

}

if (empty($_POST["email"])) { $emailErr = "电邮是必填的";

} else { $email = test_input($_POST["email"]); // 检查电子邮件地址语法是否有效

if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "无效的 email 格式";

}

if (empty($_POST["website"])) { $website = "";

} else { $website = test_input($_POST["website"]); // 检查 URL 地址语法是否有效(正则表达式也允许 URL 中的斜杠)

if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) { $websiteErr = "无效的 URL";

}

} if (empty($_POST["comment"])) { $comment = "";

} else { $comment = test_input($_POST["comment"]);

} if (empty($_POST["gender"])) { $genderErr = "性别是必选的";

} else { $gender = test_input($_POST["gender"]);

}

}function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data;

}?>

AAffA0nNPuCLAAAAAElFTkSuQmCC

吟澜

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
php提交页面处理,【PHP基础】PHP与Web页面交互（表单处理）

1、$_GET 和 $_POST 用于收集表单数据(form-data)用HTTP POST方法发送提交数据。Name:E-mail:当用户填写此表单并点击提交按钮后，表单数据会发送到名为 "welcome.php" 的 PHP 文件供处理。如需显示出被提交的数据，您可以简单地输出(echo)所有变量。"welcome.php" 文件是这样的：Youremailaddressis:输出...
复制链接

扫一扫