在處理PHP表單時我們需要考慮安全性。

本章節(jié)我們將展示PHP表單數(shù)據(jù)安全處理，為了防止黑客及垃圾信息我們需要對表單進行數(shù)據(jù)安全驗證。

在本章節(jié)介紹的HTML表單中包含以下輸入字段： 必須與可選文本字段，單選按鈕，及提交按鈕：

實例

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP.cn</title>
 </head>
 <body>
 <h2>PHP 表單驗證實例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 
    名字: <input type="text" name="name" value="">
     <br>
     E-mail: <input type="text" name="email" value="">
     <br>
     網(wǎng)址: <input type="text" name="website" value="">
     <br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br>
     性別:
     <input type="radio" name="gender"  value="female">女
     <input type="radio" name="gender"  value="male">男
     <br>
     <input type="submit" name="submit" value="提交">
 </form>
 </body>
 </html>

程序運行結果：

上述表單驗證規(guī)則如下：

讓我們把代碼分開來看看：

文本字段

"名字", "E-mail", 及"網(wǎng)址"字段為文本輸入元素text，"備注"字段是文本域 textarea。

HTML代碼如下所示:

名字: <input type="text" name="name" value="">
    E-mail: <input type="text" name="email" value="">
網(wǎng)址: <input type="text" name="website" value="">
備注: <textarea name="comment" rows="5" cols="40"></textarea>

單選按鈕

"性別"字段是 radio單選按鈕

HTML代碼如下所示：

性別:
    <input type="radio" name="gender"  value="female">女
    <input type="radio" name="gender"  value="male">男

表單元素

HTML 表單代碼如下所示:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"])";?>

 該表單使用 method="post" 方法來提交數(shù)據(jù)。

什么是 $_SERVER["PHP_SELF"] 變量？

$_SERVER["PHP_SELF"] 是一種超全局變量，它返回當前執(zhí)行腳本的文件名。

因此，$_SERVER["PHP_SELF"] 將表單數(shù)據(jù)發(fā)送到頁面本身，而不是跳轉到另一張頁面。這樣，用戶就能夠在表單頁面獲得錯誤提示信息。

什么是 htmlspecialchars() 函數(shù)？

htmlspecialchars() 函數(shù)把特殊字符轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字符會被替換為 &lt; 和 &gt; 。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 代碼（跨站點腳本攻擊）對代碼進行利用。

關于 PHP 表單安全性的重要提示

$_SERVER["PHP_SELF"] 變量能夠被黑客利用！

如果您的頁面使用了 PHP_SELF，用戶能夠輸入下劃線然后執(zhí)行跨站點腳本（XSS）又叫css。                                                            

 提示：跨站點腳本（Cross-site scripting，XSS）是一種計算機安全漏洞類型，常見于 Web 應用程序。XSS 能夠使攻擊者向其他用戶瀏覽的網(wǎng)頁中輸入客戶端腳本。

 假設我們的一張名為 "test_form.php" 的頁面中有如下表單：

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

現(xiàn)在，我們使用URL來指定提交地址 "test_form.php",以上代碼修改為如下所示:

<form method="post" action="test_form.php">

這樣做就很好了。

但是，考慮到用戶會在瀏覽器地址欄中輸入以下地址:

http://miracleart.cn/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

以上的 URL 中，將被解析為如下代碼并執(zhí)行：

<form method="post" action="test_form.php/"><script>alert('hacked')</script>

代碼中添加了 script 標簽，并添加了alert命令。 當頁面載入時會執(zhí)行該Javascript代碼（用戶會看到彈出框）。 這僅僅只是一個簡單的實例來說明PHP_SELF變量會被黑客利用。

請注意， 任何JavaScript代碼可以添加在<script>標簽中！ 黑客可以利用這點重定向頁面到另外一臺服務器的頁面上，頁面 代碼文件中可以保護惡意代碼，代碼可以修改全局變量或者獲取用戶的表單數(shù)據(jù)。

如何避免 $_SERVER["PHP_SELF"] 被利用?

$_SERVER["PHP_SELF"] 可以通過 htmlspecialchars() 函數(shù)來避免被利用。

form 代碼如下所示：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars() 把一些預定義的字符轉換為 HTML 實體。現(xiàn)在如果用戶想利用 PHP_SELF 變量, 結果將輸出如下所示：

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

嘗試該漏洞失??！

通過 PHP 驗證表單數(shù)據(jù)

我們要做的第一件事是通過 PHP 的 htmlspecialchars() 函數(shù)傳遞所有變量。

在我們使用 htmlspecialchars() 函數(shù)后，如果用戶試圖在文本字段中提交以下內容：

<script>location.href('http://www.hacked.com')</script>

- 代碼不會執(zhí)行，因為會被保存為轉義代碼，就像這樣：

&lt;script&gt;location.href('http://www.hacked.com')&lt;/script&gt;

現(xiàn)在這條代碼顯示在頁面上或 e-mail 中是安全的。

在用戶提交該表單時，我們還要做兩件事：

1.   （通過 PHP trim() 函數(shù)）去除用戶輸入數(shù)據(jù)中不必要的字符（多余的空格、制表符、換行）

2.   （通過 PHP stripslashes() 函數(shù)）刪除用戶輸入數(shù)據(jù)中的反斜杠（\）

接下來我們創(chuàng)建一個檢查函數(shù)（相比一遍遍地寫代碼，這樣效率更好）。

我們把函數(shù)命名為 test_input()。

現(xiàn)在，我們能夠通過 test_input() 函數(shù)檢查每個 $_POST 變量，腳本是這樣的：

 實例

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP中文網(wǎng)(php.cn)</title>
 </head>
 <body>
 
 <?php
 // 定義變量并默認設置為空值
 $name = $email = $gender = $comment = $website = "";
 
 if ($_SERVER["REQUEST_METHOD"] == "POST")
 {
     $name = test_input($_POST["name"]);
     $email = test_input($_POST["email"]);
     $website = test_input($_POST["website"]);
     $comment = test_input($_POST["comment"]);
     $gender = test_input($_POST["gender"]);
 }
 
 function test_input($data)
 {
     $data = trim($data);
     $data = stripslashes($data);
     $data = htmlspecialchars($data);
     return $data;
 }
 ?>
 
 <h2>PHP 表單驗證實例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
     名字: <input type="text" name="name">
     <br><br>
     E-mail: <input type="text" name="email">
     <br><br>
     網(wǎng)址: <input type="text" name="website">
     <br><br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br><br>
     性別:
     <input type="radio" name="gender" value="female">女
     <input type="radio" name="gender" value="male">男
     <br><br>
     <input type="submit" name="submit" value="提交">
 </form>
 
 <?php
 echo "<h2>您輸入的內容是:</h2>";
 echo $name;
 echo "<br>";
 echo $email;
 echo "<br>";
 echo $website;
 echo "<br>";
 echo $comment;
 echo "<br>";
 echo $gender;
 ?>
 
 </body>

運行程序看看吧

注意：我們在執(zhí)行以上腳本時，會通過$_SERVER["REQUEST_METHOD"]來檢測表單是否被提交 。如果 REQUEST_METHOD 是 POST, 表單將被提交 - 數(shù)據(jù)將被驗證。如果表單未提交將跳過驗證并顯示空白。

在以上實例中使用輸入項都是可選的，即使用戶不輸入任何數(shù)據(jù)也可以正常顯示。

在接下來的章節(jié)中我們將介紹如何對用戶輸入的數(shù)據(jù)進行驗證。