PHP 表单验证
本章与接下来的章节将展示如何使用 PHP 来验证表单数据。
PHP 表单验证
处理 PHP 表单时请考虑安全性!
这些页面将展示如何在确保安全性的前提下处理 PHP 表单。适当的表单数据验证对于保护表单免受黑客和垃圾邮件发送者的攻击非常重要!
我们将在这些章节中制作的 HTML 表单中包含各种输入字段:必填和可选的文本字段、单选按钮和一个提交按钮:
上述表单的验证规则如下:
| 字段 | 验证规则 |
|---|---|
| 姓名 | 必填。仅包含字母和空格。 |
| 电子邮件 | 必填。必须包含有效的电子邮件地址(带有 @ 和 .)。 |
| 网站 | 可选。如果存在,必须包含有效的 URL。 |
| 评论 | 可选。多行输入字段(textarea)。 |
| 性别 | 必填。必须选择一个。 |
首先,我们将查看表单的纯 HTML 代码:
文本字段
姓名、电子邮件和网站字段是文本输入元素,而评论字段是文本区域。
HTML 代码看起来像这样:
姓名:<input type="text" name="name"> 电邮:<input type="text" name="email"> 网站:<input type="text" name="website"> 评论:<textarea name="comment" rows="5" cols="40"></textarea>
单选按钮
性别字段是单选按钮,HTML 代码看起来像这样:
性别: <input type="radio" name="gender" value="female">女性 <input type="radio" name="gender" value="male">男性 <input type="radio" name="gender" value="other">其他
表单元素
表单的 HTML 代码看起来像这样:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
当表单提交时,表单数据通过 method="post" 发送。
什么是 $_SERVER["PHP_SELF"] 变量?
$_SERVER["PHP_SELF"] 是一个超全局变量,返回当前执行脚本的文件名。
因此,$_SERVER["PHP_SELF"] 将提交的表单数据发送回自身页面,而不是跳转到另一个页面。这样,用户将在与表单相同的页面上收到错误消息。
什么是 htmlspecialchars() 函数?
htmlspecialchars() 函数将特殊字符转换为 HTML 实体。这意味着它将替换 HTML 字符,如 < 和 >,为 < 和 >。这可以防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站脚本攻击)来利用代码。
警告!
$_SERVER["PHP_SELF"] 变量可能被黑客利用!
如果在您的页面中使用 PHP_SELF,则用户可以输入一个斜杠 /,然后输入一些跨站脚本(XSS)命令来执行。
跨站脚本(XSS)是一种通常在 Web 应用程序中发现的计算机安全漏洞。XSS 使攻击者能够将客户端脚本注入到由其他用户查看的 Web 页面中。
假设我们在名为 "test_form.php" 的页面中有以下表单:
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
现在,如果用户在地址栏中输入正常的 URL,如 "http://www.example.com/test_form.php",则上述代码将被翻译为:
<form method="post" action="test_form.php">
到目前为止,一切正常。
但是,请思考用户在地址栏中输入以下 URL:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
在这种情况下,上述代码将被翻译为:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>
此代码添加了一个脚本标签和一个 alert 命令。当页面加载时,JavaScript 代码将被执行(用户将看到一个警告框)。这只是一个简单的无害示例,展示了如何利用 PHP_SELF 变量。
请注意,可以在 <script> 标签内添加任何 JavaScript 代码!黑客可以将用户重定向到另一台服务器上的文件,而该文件可能包含可以更改全局变量或将表单提交到另一个地址以保存用户数据的恶意代码。
如何避免 $_SERVER["PHP_SELF"] 被恶意使用?
通过使用 htmlspecialchars() 函数可以避免 $_SERVER["PHP_SELF"] 被恶意使用。
表单代码应该像这样:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
htmlspecialchars() 函数将特殊字符转换为 HTML 实体。现在,如果用户尝试利用 PHP_SELF 变量,结果将如下所示:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">
恶意使用的尝试失败,没有造成任何损害!
使用 PHP 验证表单数据
我们要做的第一件事是将所有变量通过 PHP 的 htmlspecialchars() 函数传递。
当我们使用 htmlspecialchars() 函数时;如果用户尝试在文本字段中提交以下内容:
<script>location.href('http://www.hacked.com')</script>
它不会被执行,因为它将被保存为 HTML 转义代码,如下所示:
<script>location.href('http://www.hacked.com')</script>
现在代码可以安全地显示在页面上或电子邮件中。
当用户提交表单时,我们还将执行另外两项操作:
- 使用 PHP
trim()函数从用户输入数据中删除不必要的字符(额外的空格、制表符、换行符) - 使用 PHP
stripslashes()函数从用户输入数据中删除反斜杠\
下一步是创建一个函数来为我们执行所有检查(这比一遍又一遍地编写相同的代码要方便得多)。
我们将该函数命名为 test_input()。
现在,我们可以使用 test_input() 函数检查每个 $_POST 变量,脚本如下所示:
实例
// 定义变量并设置为空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
请注意,在脚本的开头,我们检查表单是否已使用 $_SERVER["REQUEST_METHOD"] 提交。如果 REQUEST_METHOD 是 POST,则表单已提交 - 应进行验证。如果未提交,则跳过验证并显示一个空表单。
但是,在上面的例子中,所有输入字段都是可选的。即使用户不输入任何数据,脚本也能正常工作。
下一步是使输入字段成为必填项,并在需要时创建错误消息。