PHP_009 表单验证

最新推荐文章于 2024-09-27 16:14:02 发布
最新推荐文章于 2024-09-27 16:14:02 发布
阅读量198 收藏
点赞数
文章标签: php
原文链接:https://my.oschina.net/u/2317401/blog/381100
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

表单处理

当处理 HTML 表单时,PHP 能把来自 HTML 页面中的表单元素自动变成可供 PHP 脚本使用。

实例

下面的实例包含了一个 HTML 表单,带有两个输入框和一个提交按钮:

<html>
<body>
<form action="welcome.php" method="post">
Name: <input type="text" name="fname">
Age: <input type="text" name="age">
<input type="submit">
</form>
</body>
</html>

当用户填写完上面的表单并点击提交按钮时,表单的数据会被送往名为 "welcome.php" 的 PHP 文件:

"welcome.php" 文件如下所示:

<html>
<body>
Welcome <?php echo $_POST["fname"]; ?>!<br>
You are <?php echo $_POST["age"]; ?> years old.
</body>
</html>

输出如下所示:

Welcome John!
You are 28 years old.

表单验证

应该在任何可能的时候对用户输入进行验证(通过客户端脚本)。浏览器验证速度更快,并且可以减轻服务器的负载。

如果用户输入需要插入数据库,您应该考虑使用服务器验证。在服务器验证表单的一种好的方式是,把表单传给它自己,而不是跳转到不同的页面。这样用户就可以在同一张表单页面得到错误信息。用户也就更容易发现错误了。

先看看纯HTML的表单代码: 

文本字段

name, email, 及 website 字段为文本输入元素, comment 字段是 textarea。HTML代码如下所示:

Name: <input type="text" name="name">
E-mail: <input type="text" name="email">
Website: <input type="text" name="website">
Comment: <textarea name="comment" rows="5" cols="40"></textarea>

单选按钮

gender 字段是单选按钮,HTML代码如下所示:

Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male

表单元素

HTML 表单代码如下所示::

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

该表单使用 method="post" 方法来提交数据。

上述表单验证规则如下:

字段验证规则
Name必须。 +只能包含字母和空格
E-mail必须。 + 必须是一个有效的电子邮件地址(包含'@'和'.')
Website必须。如果存在,它必须包含一个有效的URL
Comment必须。 多行输入字段(文本域)
Gender必须。 必须选择一个

$_SERVER["PHP_SELF"]是超级全局变量,返回当前正在执行脚本的文件名,与 document root相关。

所以, $_SERVER["PHP_SELF"] 会发送表单数据到当前页面,而不是跳转到不同的页面。

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号) 成为 &amp;

  • " (双引号) 成为 &quot;

  • ' (单引号) 成为 &#039;

  • < (小于) 成为 &lt;

  • > (大于) 成为 &gt;

当黑客使用跨网站脚本的HTTP链接来攻击时,$_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此$_SERVER["PHP_SELF"]的字符串就会包含HTTP链接后面的JavaScript程序代码。

指定以下表单文件名为 "test_form.php":

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

现在,我们使用URL来指定提交地址 "http://www.demo.com/test_form.php",以上代码修改为如下所示:

<form method="post" action="test_form.php">

这样做就很好了。

但是,考虑到用户会在浏览器地址栏中输入以下地址:

http://www.demo.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

In this case, the above code will be translated to:

<form method="post" action="test_form.php"/><script>alert('hacked')</script>

代码中添加了 script 标签,并添加了alert命令。 当页面载入时会执行该Javascript代码(用户会看到弹出框)。 这仅仅只是一个简单的实例来说明PHP_SELF变量会被黑客利用。

黑客可以利用这点重定向页面到另外一台服务器的页面上,页面代码文件中可以保护恶意代码,代码可以修改全局变量或者获取用户的表单数据

避免 $_SERVER["PHP_SELF"] 被利用

$_SERVER["PHP_SELF"] 可以通过 htmlspecialchars() 函数来避免被利用。

form 代码如下所示:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars() 把一些预定义的字符转换为 HTML 实体。现在如果用户想利用 PHP_SELF 变量, 结果将输出如下所示:

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

尝试该漏洞失败!

PHP 验证表单数据

我们对用户所有提交的数据都通过 PHP 的 htmlspecialchars() 函数处理。

当我们使用 htmlspecialchars() 函数时,在用户尝试提交以下文本域:

<script>location.href('http://www.demo.com')</script>

- 该代码将不会被执行,因为它会被保存为HTML转义代码,如下所示:

&lt;script&gt;location.href('http://www.demo.com')&lt;/script&gt;

以上代码是安全的,可以正常在页面显示或者插入邮件中。

当用户提交表单时,我们将做以下两件事情,:

  1. 使用 PHP trim() 函数去除用户输入数据中不必要的字符 (如:空格,tab,换行)。

  2. 使用PHP stripslashes()函数去除用户输入数据中的反斜杠 (\)

接下来让我们将这些过滤的函数写在一个我们自己定义的函数中,这样可以大大提高代码的复用性。

将函数命名为 test_input()。

现在,我们可以通过test_input()函数来检测 $_POST 中的所有变量, 脚本代码如下所示:

<?php
// 定义变量并默认设置为空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST")
{
  $name = test_input($_POST["name"]);
  $email = test_input($_POST["email"]);
  $website = test_input($_POST["website"]);
  $comment = test_input($_POST["comment"]);
  $gender = test_input($_POST["gender"]);
}
function test_input($data)
{
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}
?>

注意我们在执行以上脚本时,会通过$_SERVER["REQUEST_METHOD"]来检测表单是否被提交 。如果 REQUEST_METHOD 是 POST, 表单将被提交 - 数据将被验证。如果表单未提交将跳过验证并显示空白。

在以上实例中使用输入项都是可选的,即使用户不输入任何数据也可以正常显示。

完善

在以下代码中我们加入了一些新的变量: $nameErr, $emailErr, $genderErr, 和 $websiteErr.。这些错误变量将显示在必须字段上。 我们还为每个$_POST变量增加了一个if else语句。 这些语句将检查 $_POST 变量是 否为空(使用php的 empty() 函数)。如果为空,将显示对应的错误信息。 如果不为空,数据将传递给test_input() 函数:

<?php
// 定义变量并默认设为空值
$nameErr = $emailErr = $genderErr = $websiteErr = "";
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST")
{
  if (empty($_POST["name"]))
    {$nameErr = "Name is required";}
  else
    {$name = test_input($_POST["name"]);}
  if (empty($_POST["email"]))
    {$emailErr = "Email is required";}
  else
    {$email = test_input($_POST["email"]);}
  if (empty($_POST["website"]))
    {$website = "";}
  else
    {$website = test_input($_POST["website"]);}
  if (empty($_POST["comment"]))
    {$comment = "";}
  else
    {$comment = test_input($_POST["comment"]);}
  if (empty($_POST["gender"]))
    {$genderErr = "Gender is required";}
  else
    {$gender = test_input($_POST["gender"]);}
}
?>

在以下的HTML实例表单中,我们为每个字段中添加了一些脚本, 各个脚本会在信息输入错误时显示错误信息。(如果用户未填写信息就提交表单则会输出错误信息):

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
Name: <input type="text" name="name">
<span class="error">* <?php echo $nameErr;?></span>
<br><br>
E-mail:
<input type="text" name="email">
<span class="error">* <?php echo $emailErr;?></span>
<br><br>
Website:
<input type="text" name="website">
<span class="error"><?php echo $websiteErr;?></span>
<br><br>
<label>Comment: <textarea name="comment" rows="5" cols="40"></textarea>
<br><br>
Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male
<span class="error">* <?php echo $genderErr;?></span>
<br><br>
<input type="submit" name="submit" value="Submit"> 
</form>

邮件和URL验证

验证名称

以下代码将通过简单的方式来检测 name 字段是否包含字母和空格,如果 name 字段值不合法,将输出错误信息:

$name = test_input($_POST["name"]);

if (!preg_match("/^[a-zA-Z ]*$/",$name))  //字母开头,字母结尾

  {

  $nameErr = "只允许字母及空格";
 

  }

preg_match — 进行正则表达式匹配。

语法:

int preg_match ( string $pattern , string $subject [, array $matches [, int $flags ]] )


在 subject 字符串中搜索与 pattern 给出的正则表达式相匹配的内容。如果提供了 matches ,则其会被搜索的结果所填充。$matches[0] 将包含与整个模式匹配的文本,$matches[1] 将包含与第一个捕获的括号中的子模式所匹配的文本,以此类推。

验证邮件

以下代码将通过简单的方式来检测 e-mail 地址是否合法。如果 e-mail 地址不合法,将输出错误信息:

$email = test_input($_POST["email"]);

if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email))

  {

  $emailErr = "非法邮件地址";
 

  }

验证 URL

以下代码将检测URL地址是否合法 (以下正则表达式运行URL中含有破折号:"-"), 如果 URL 地址不合法,将输出错误信息:

$website = test_input($_POST["website"]);

if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website))

  {

  $websiteErr = "不合法的 URL";
 

  }

代码

<?php
// 定义变量并设为空值
$nameErr = $emailErr = $genderErr = $websiteErr = "";
$name = $email = $gender = $comment = $website = "";

if ($_SERVER["REQUEST_METHOD"] == "POST")
{
  if (empty($_POST["name"]))
    {$nameErr = "Name is required";}
  else
    {
    $name = test_input($_POST["name"]);
    // check if name only contains letters and whitespace
    if (!preg_match("/^[a-zA-Z ]*$/",$name))
      {
      $nameErr = "Only letters and white space allowed"; 
      }
    }

  if (empty($_POST["email"]))
    {$emailErr = "Email is required";}
  else
    {
    $email = test_input($_POST["email"]);
    // check if e-mail address syntax is valid
    if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email))
      {
      $emailErr = "Invalid email format"; 
      }
    }

  if (empty($_POST["website"]))
    {$website = "";}
  else
    {
    $website = test_input($_POST["website"]);
    // check if URL address syntax is valid (this regular expression also allows dashes in the URL)
    if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website))
      {
      $websiteErr = "Invalid URL"; 
      }
    }

  if (empty($_POST["comment"]))
    {$comment = "";}
  else
    {$comment = test_input($_POST["comment"]);}

  if (empty($_POST["gender"]))
    {$genderErr = "Gender is required";}
  else
    {$gender = test_input($_POST["gender"]);}
}
?>

转载于:https://my.oschina.net/u/2317401/blog/381100

weixin_33862188
关注
bootstrap的表单验证 vue_Bootstrap 表单验证formValidation 的实例详解
weixin_36285826的博客
12-24 1678
这篇文章主要介绍了Bootstrap 表单验证formValidation 实现表单动态验证功能,需要的朋友可以参考下Bootstrap教程动态添加input并动态添加新验证方式!init状态:点击“+”后:验证后:知识点:1 先去官网下载:formvalidation.io/2 导入文件,注意事项我就不多说了在远程验证那篇我已经讲过。3 用到的关键字:addField、removeField、d...
后端基础PHP——表单验证
weixin_53026460的博客
05-28 1105
1、表单在网页中主要负责数据采集功能,数据采集意思就是采集信息。 2、表单的目的就是让你和网页进行一个交互。 3、一个表单有三个基本部分组成:(一)表单标签:告诉别人这是表单,数据表该给谁,怎么给。这里面包含了处理表单数据所有动态脚本的URL以及数据提交到服务器的方法;(二)表单域:框,填写信息的地方。包含了文本框、密码框、隐藏框、多行文本框、复选框、单选框、下拉选择框和文件上传框等;(三)表单按钮按钮就是按键的意思,主要是提交的功能。包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的动态脚
php表单必选,PHP 表单 - 必需字段
weixin_32743475的博客
03-26 189
本章节我们将介绍如何设置表单必需字段及错误信息。PHP - 必需字段在上一章节我们已经介绍了表的验证规则,我们可以看到"Name", "E-mail", 和 "Gender" 字段是必须的,各字段不能为空。字段验证规则Name必需。 + 只能包含字母和空格E-mail必需。 + 必需包含一个有效的电子邮件地址(包含"@"和".")Website可选。 如果存在,它必须包含一个有效的URLComme...
PHP学习笔记3-表单
weixin_33910759的博客
02-24 145
PHP 表单处理 PHP 超全局变量 $_GET 和 $_POST 用于收集表单数据(form-data) 一个简单的 HTML 表单 <html> <body> <form action="welcome.php" method="post"> Name: <input type...
PHP表单验证
x-2010的笔记
07-03 4543
这里将介绍如何使用PHP验证客户端提交表单数据。在处理PHP表单时需要考虑安全性,这里将展示PHP表单数据安全处理,为防止黑客以及垃圾信息就需要对表单进行数据安全验证,实例介绍的HTML表单包含以下输入字段:必须与可选文本字段,单选按钮,及提交按钮:form_verify.php:&lt;html&gt; &lt;head&gt; &lt;meta charset="utf-8"&gt; &l...
15 php学习:表单验证
热门推荐
百锦再的博客
04-16 6万+
因此,在密码验证规则中,需要综合考虑密码的长度要求、复杂性要求、确认验证、安全策略等方面的内容,以确保密码的安全性和用户友好性。通过有效的唯一性检查方法,可以确保系统数据的准确性和完整性,避免重复数据的存在,提高系统的性能和安全性。通过日期验证,可以确保用户输入的日期符合指定的格式和范围要求,从而提高数据的准确性和系统的安全性。表单验证在网页和应用程序开发中起着至关重要的作用,其主要目的是确保用户输入的数据符合预期的格式和规则,以提升用户体验、数据准确性和系统安全性。
php表单验证_用PHP进行表单验证
culi3118的博客
08-09 2151
php表单验证In this article you’ll construct and validate a simple form using HTML and PHP. The form is created using HTML and validation and processing of the form’s contents is done with PHP. The goal is...
PHP常用(正则)表单验证
YBaog Blog
12-07 2045
这些天一直在整理项目,就把一些常用的总结了一下. 验证是否为指定长度的字母/数字组合 验证是否为指定长度数字 验证是否为指定长度汉字 验证身份证号码 验证手机号 验证邮件地址 验证邮编 验证URL地址
PHPPHP正则表达式验证表单
我不写博客谁写博客之自我提升
12-06 1006
以下内容转载自:https://www.jb51.net/article/93375.htm 模式匹配符: \:转义字符 例如:\b转义了b ^:正则表达式开始符号 $:正则表达式结束符号 *:匹配前面的字符出现0次或者n次 +:匹配前面的字符出现1次或者n次 ?:匹配前面的字符出现0次或者1次 .:匹配除了换行符以外的所有单个字符 |:或者的意思,例如x|y 匹配x或者y {n}:匹配前面的n个...
form_php简单表单验证页面_
10-03
本项目名为“form_php简单表单验证页面”,显然它是一个面向初学者的实例,旨在教授如何使用PHP进行基本的表单数据验证。 在Web应用中,表单验证是必不可少的一环,它用于确保用户提交的数据符合预期的格式和规则,...
PHP.rar_dw php_dw留言板_提交表单_登录 php_登录、留言php
09-24
PHP端,我们需要接收并验证这些表单数据。使用`$_POST`全局数组可以获取通过POST方式提交的数据。例如,获取用户名和密码: ```php $username = $_POST['username']; $password = $_POST['password']; ``` 接着,...
PHP_万能表单+7.7.5.zip
07-08
万能表单PHP环境中工作,意味着它可以处理用户输入的数据,验证数据的有效性,发送邮件通知,存储数据到数据库,甚至与其他系统进行交互。这样的工具对于网站管理员和开发者来说非常实用,因为它允许他们快速构建...
实例讲解PHP表单验证功能
01-20
PHP 表单验证 提示:在处理 PHP 表单时请重视安全性! 这些页面将展示如何安全地处理 PHP 表单。对 HTML 表单数据进行适当的验证对于防范黑客和垃圾邮件很重要! 我们稍后使用的 HTML 表单包含多种输入字段:必需...
php 表单提交 表单前端验证
张三先生
09-02 2590
php 表单提交 表单前端验证
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
软希网分享源码的博客
09-23 498
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
PHP中error_reporting函数作用
sheji888的专栏
09-24 765
除了使用PHP内置的错误处理机制外,你还可以使用函数来定义自己的错误处理函数。这允许你更灵活地控制错误报告的行为,例如,将错误信息发送到外部系统或显示自定义的错误页面。
服务器被挂马,导致网站首页被更改怎么解决
最新发布
KookeeyLena7的博客
09-27 593
当服务器被挂马并导致网站首页被篡改时,说明服务器或网站的安全性遭到破坏。
PHP表单与HTTP验证实战教程
以下是一个简单的基于表单验证PHP示例: ```php <?php if ($_SERVER["REQUEST_METHOD"] == "POST") { $username = $_POST['username']; $password = $_POST['password']; // 这里通常会连接数据库并查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值