PHP表單驗證

PHP?表單驗證

本章節(jié)我們將介紹如何使用PHP驗證用戶端提交的表單資料。

應(yīng)該在任何可能的時候?qū)κ褂谜咻斎脒M行驗證（透過客戶端腳本）。瀏覽器驗證速度更快，並且可以減輕伺服器的負載。

如果使用者輸入需要插入資料庫，您應(yīng)該考慮使用伺服器驗證。在伺服器驗證表單的一個很好的方法是，把表單傳給它自己，而不是跳到不同的頁面。這樣使用者就可以在同一張表單頁面得到錯誤訊息。用戶也就更容易發(fā)現(xiàn)錯誤了。

在處理PHP表單時我們需要考慮安全性。

本章節(jié)我們將展示PHP表單資料安全處理，為了防止駭客及垃圾資訊我們需要對表單進行資料安全驗證。

? ?

PHP 表單驗證實例

QQ圖片20161009114426.png

上面的表單使用下列驗證規(guī)則：

QQ圖片20161009114556.png

#? ?

#首先我們先來看看這個表單的純HTML 程式碼：

文字欄位

name、email 和website 屬於文字輸入元素，comment 欄位是文字方塊。 HTML 程式碼是這樣的：

Name: <input type="text" name="name">
E-mail: <input type="text" name="email">
Website: <input type="text" name="website">
Comment: <textarea name="comment" rows="5" cols="40"></textarea>

#單選按鈕

##gender 欄位是單選取按鈕，HTML 程式碼是這樣的：

Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male

表單元素

表單的HTML 程式碼是這樣的：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

提交此表單時，透過method="post" 傳送表單資料。

#什麼是 $_SERVER["PHP_SELF"] 變數(shù)？

$_SERVER["PHP_SELF"] 是一種超全域變量，它會傳回目前執(zhí)行腳本的檔案名稱。

因此，$_SERVER["PHP_SELF"] 將表單資料傳送到頁面本身，而不是跳到另一張頁面。這樣，使用者就能夠在表單頁面獲得錯誤提示訊息。

什麼是 htmlspecialchars() 函數(shù)？

htmlspecialchars() 函數(shù)把特殊字元轉(zhuǎn)換成 HTML 實體。這意味著 < 和 > 之類的 HTML 字元會被替換為 < 和 > 。這樣可防止攻擊者透過在表單中註入 HTML 或 JavaScript 程式碼（跨網(wǎng)站腳本攻擊）來利用程式碼。

關(guān)於 PHP 表單安全性的重要提示

#$_SERVER["PHP_SELF"] 變數(shù)能夠被駭客利用！

如果您的頁面使用了 PHP_SELF，使用者能夠輸入下劃線然後執(zhí)行跨站點腳本（XSS）。

提示：跨站點腳本（Cross-site scripting，XSS）是一種電腦安全漏洞類型，常見於 Web 應(yīng)用程式。 XSS 能夠讓攻擊者向其他使用者瀏覽的網(wǎng)頁輸入客戶端腳本。

假設(shè)我們的一張名為"test_form.php" 的頁面中有以下表單：

現(xiàn)在，如果使用者進入的是網(wǎng)址列中正常的URL："http://www. php.cn/test_form.php"，上面的程式碼會轉(zhuǎn)換成：

到目前，一切正常。

不過，如果使用者在網(wǎng)址列中鍵入如下URL：

http://www.miracleart.cn/test_form.php/%22%3E%3Cscript%3Ealert('php ')%3C/script%3E

在這種情況下，上面的程式碼會轉(zhuǎn)換為：

<form method="post" action="test_form.php "/><script>alert('php')</script>

這段程式碼加入了一段腳本和一個提示指令。並且當此頁面載入後，就會執(zhí)行 JavaScript 程式碼（使用者會看到一個提示框）。這只是一個關(guān)於 PHP_SELF 變數(shù)如何被利用的簡單無害案例。

您應(yīng)該意識到?<script> 標籤內(nèi)能夠新增任何 JavaScript 程式碼！駭客能夠把使用者重定向到另一臺伺服器上的某個文件，該文件中的惡意程式碼能夠更改全域變數(shù)或?qū)⒈韱翁峤坏狡渌恢芬员４媸褂谜邤?shù)據(jù)，等等。

如何避免 $_SERVER["PHP_SELF"] 被利用？

透過使用 htmlspecialchars() 函數(shù)能夠避免 $_SERVER["PHP_SELF"] 被利用。

表單程式碼是這樣的：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> ;

htmlspecialchars() 函數(shù)把特殊字元轉(zhuǎn)換成HTML 實體。現(xiàn)在，如果使用者試圖利用PHP_SELF 變量，會導(dǎo)致以下輸出：

<form method="post" action="test_form.php/"><script>alert('php')< /script>">

無法利用，沒有危害！

透過PHP 驗證表單資料

我們要做的第一件事是透過PHP 的htmlspecialchars() 函數(shù)傳遞所有變數(shù)。 ;script>location.href('http://www.miracleart.cn')</script>

- 程式碼不會執(zhí)行，因為會被儲存為轉(zhuǎn)義程式碼，就像這樣：

現(xiàn)在這條程式碼顯示在頁面上或e-mail 中是安全的。

在使用者提交該表單時，我們還要做兩件事：

1.???（透過PHP trim() 函數(shù)）移除使用者輸入資料中不必要的字元（多餘的空格、製表符、換行）

2.??? （透過PHP stripslashes() 函數(shù)）刪除使用者輸入資料中的反斜線（\）

接下來我們建立一個檢查函數(shù)（相比一遍遍地寫程式碼，這樣效率更好）。

我們把函數(shù)命名為 test_input()。

繼續(xù)學(xué)習(xí)

新建檔案

<!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <title>菜鳥教程(runoob.com)</title> <style> .error {color: #FF0000;} </style> </head> <body> <?php // 定義變量并默認設(shè)置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { if (empty($_POST["name"])) { $nameErr = "名字是必需的"; } else { $name = test_input($_POST["name"]); // 檢測名字是否只包含字母跟空格 if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "只允許字母和空格"; } } if (empty($_POST["email"])) { $emailErr = "郵箱是必需的"; } else { $email = test_input($_POST["email"]); // 檢測郵箱是否合法 if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "非法郵箱格式"; } } if (empty($_POST["website"])) { $website = ""; } else { $website = test_input($_POST["website"]); // 檢測 URL 地址是否合法 if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) { $websiteErr = "非法的 URL 的地址"; } } if (empty($_POST["comment"])) { $comment = ""; } else { $comment = test_input($_POST["comment"]); } if (empty($_POST["gender"])) { $genderErr = "性別是必需的"; } else { $gender = test_input($_POST["gender"]); } } function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } ?> <h2>PHP 表單驗證實例</h2> <p><span class="error">* 必需字段。</span></p> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 名字: <input type="text" name="name" value="<?php echo $name;?>"> <span class="error">* <?php echo $nameErr;?></span> <br><br> E-mail: <input type="text" name="email" value="<?php echo $email;?>"> <span class="error">* <?php echo $emailErr;?></span> <br><br> 網(wǎng)址: <input type="text" name="website" value="<?php echo $website;?>"> <span class="error"><?php echo $websiteErr;?></span> <br><br> 備注: <textarea name="comment" rows="5" cols="40"><?php echo $comment;?></textarea> <br><br> 性別: <input type="radio" name="gender" <?php if (isset($gender) && $gender=="female") echo "checked";?> value="female">女 <input type="radio" name="gender" <?php if (isset($gender) && $gender=="male") echo "checked";?> value="male">男 <span class="error">* <?php echo $genderErr;?></span> <br><br> <input type="submit" name="submit" value="Submit"> </form> <?php echo "<h2>您輸入的內(nèi)容是:</h2>"; echo $name; echo "<br>"; echo $email; echo "<br>"; echo $website; echo "<br>"; echo $comment; echo "<br>"; echo $gender; ?> </body> </html>

提交重置程式碼

自動運行