PHP_009 表单验证-白红宇

PHP_009 表单验证

阅读量：6350 次

发布时间：2019-06-22

本文共 4072 字，大约阅读时间需要 13 分钟。

表单处理

当处理 HTML 表单时，PHP 能把来自 HTML 页面中的表单元素自动变成可供 PHP 脚本使用。

实例

下面的实例包含了一个 HTML 表单，带有两个输入框和一个提交按钮：


    
     Name: 
     
      Age:

当用户填写完上面的表单并点击提交按钮时，表单的数据会被送往名为 "welcome.php" 的 PHP 文件：

"welcome.php" 文件如下所示：

Welcome 
    !
You are 
     years old.

输出如下所示：

Welcome John!You are 28 years old.

表单验证

应该在任何可能的时候对用户输入进行验证（通过客户端脚本）。浏览器验证速度更快，并且可以减轻服务器的负载。

如果用户输入需要插入数据库，您应该考虑使用服务器验证。在服务器验证表单的一种好的方式是，把表单传给它自己，而不是跳转到不同的页面。这样用户就可以在同一张表单页面得到错误信息。用户也就更容易发现错误了。

先看看纯HTML的表单代码：

文本字段

name, email, 及 website 字段为文本输入元素， comment 字段是 textarea。HTML代码如下所示:

Name: 
    
     E-mail: 
     
      Website: 
      
       Comment:

单选按钮

gender 字段是单选按钮，HTML代码如下所示：

Gender:
    
     Female
     
      Male

表单元素

HTML 表单代码如下所示：:

">

该表单使用 method="post" 方法来提交数据。

上述表单验证规则如下：

字段	验证规则
Name	必须。 +只能包含字母和空格
E-mail	必须。 + 必须是一个有效的电子邮件地址（包含'@'和'.'）
Website	必须。如果存在，它必须包含一个有效的URL
Comment	必须。多行输入字段（文本域）
Gender	必须。必须选择一个

$_SERVER["PHP_SELF"]是超级全局变量，返回当前正在执行脚本的文件名，与 document root相关。

所以， $_SERVER["PHP_SELF"] 会发送表单数据到当前页面，而不是跳转到不同的页面。

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

预定义的字符是：

& （和号）成为 &

" （双引号）成为 "

' （单引号）成为 '

< （小于）成为 <

> （大于）成为 >

当黑客使用跨网站脚本的HTTP链接来攻击时，$_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的，因此$_SERVER["PHP_SELF"]的字符串就会包含HTTP链接后面的JavaScript程序代码。

指定以下表单文件名为 "test_form.php":

">

现在，我们使用URL来指定提交地址 "http://www.demo.com/test_form.php",以上代码修改为如下所示:

这样做就很好了。

但是，考虑到用户会在浏览器地址栏中输入以下地址:

http://www.demo.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

In this case, the above code will be translated to:

代码中添加了 script 标签，并添加了alert命令。当页面载入时会执行该Javascript代码（用户会看到弹出框）。这仅仅只是一个简单的实例来说明PHP_SELF变量会被黑客利用。

黑客可以利用这点重定向页面到另外一台服务器的页面上，页面代码文件中可以保护恶意代码，代码可以修改全局变量或者获取用户的表单数据

避免 $_SERVER["PHP_SELF"] 被利用

$_SERVER["PHP_SELF"] 可以通过 htmlspecialchars() 函数来避免被利用。

form 代码如下所示：

">

htmlspecialchars() 把一些预定义的字符转换为 HTML 实体。现在如果用户想利用 PHP_SELF 变量, 结果将输出如下所示：

尝试该漏洞失败！

PHP 验证表单数据

我们对用户所有提交的数据都通过 PHP 的 htmlspecialchars() 函数处理。

当我们使用 htmlspecialchars() 函数时，在用户尝试提交以下文本域:

- 该代码将不会被执行，因为它会被保存为HTML转义代码，如下所示：

以上代码是安全的，可以正常在页面显示或者插入邮件中。

当用户提交表单时，我们将做以下两件事情，：

使用 PHP trim() 函数去除用户输入数据中不必要的字符 (如：空格，tab，换行)。

使用PHP stripslashes()函数去除用户输入数据中的反斜杠 (\)

接下来让我们将这些过滤的函数写在一个我们自己定义的函数中，这样可以大大提高代码的复用性。

将函数命名为 test_input()。

现在，我们可以通过test_input()函数来检测 $_POST 中的所有变量, 脚本代码如下所示：

注意我们在执行以上脚本时，会通过$_SERVER["REQUEST_METHOD"]来检测表单是否被提交。如果 REQUEST_METHOD 是 POST, 表单将被提交 - 数据将被验证。如果表单未提交将跳过验证并显示空白。

在以上实例中使用输入项都是可选的，即使用户不输入任何数据也可以正常显示。

完善

在以下代码中我们加入了一些新的变量: $nameErr, $emailErr, $genderErr, 和 $websiteErr.。这些错误变量将显示在必须字段上。我们还为每个$_POST变量增加了一个if else语句。这些语句将检查 $_POST 变量是否为空（使用php的 empty() 函数）。如果为空，将显示对应的错误信息。如果不为空，数据将传递给test_input() 函数：

在以下的HTML实例表单中，我们为每个字段中添加了一些脚本，各个脚本会在信息输入错误时显示错误信息。(如果用户未填写信息就提交表单则会输出错误信息):

邮件和URL验证

验证名称

以下代码将通过简单的方式来检测 name 字段是否包含字母和空格，如果 name 字段值不合法，将输出错误信息：

$name = test_input($_POST["name"]);if (!preg_match("/^[a-zA-Z ]*$/",$name))  //字母开头，字母结尾  {  $nameErr = "只允许字母及空格";   }

preg_match — 进行正则表达式匹配。

语法：

int preg_match ( string $pattern , string $subject [, array $matches [, int $flags ]] )

在 subject 字符串中搜索与 pattern 给出的正则表达式相匹配的内容。如果提供了 matches ，则其会被搜索的结果所填充。$matches[0] 将包含与整个模式匹配的文本，$matches[1] 将包含与第一个捕获的括号中的子模式所匹配的文本，以此类推。

验证邮件

以下代码将通过简单的方式来检测 e-mail 地址是否合法。如果 e-mail 地址不合法，将输出错误信息：

$email = test_input($_POST["email"]);if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email))  {  $emailErr = "非法邮件地址";   }

验证 URL

以下代码将检测URL地址是否合法 (以下正则表达式运行URL中含有破折号:"-")，如果 URL 地址不合法，将输出错误信息：

$website = test_input($_POST["website"]);if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website))  {  $websiteErr = "不合法的 URL";   }

代码

转载于:https://my.oschina.net/u/2317401/blog/381100

你可能感兴趣的文章

Dwr3.0纯注解(纯Java Code配置)配置与应用浅析三之后端反向调用前端