PHP 表單驗(yàn)證

在處理PHP表單時(shí)我們需要考慮安全性。

本章節(jié)我們將展示PHP表單資料安全處理，為了防止駭客及垃圾資訊我們需要對(duì)表單進(jìn)行資料安全驗(yàn)證。

在本章節(jié)介紹的??HTML表單中包含以下輸入字段：必須與可選文字字段，單選按鈕，及提交按鈕：

實(shí)例

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP.cn</title>
 </head>
 <body>
 <h2>PHP 表單驗(yàn)證實(shí)例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 
    名字: <input type="text" name="name" value="">
     <br>
     E-mail: <input type="text" name="email" value="">
     <br>
     網(wǎng)址: <input type="text" name="website" value="">
     <br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br>
     性別:
     <input type="radio" name="gender"  value="female">女
     <input type="radio" name="gender"  value="male">男
     <br>
     <input type="submit" name="submit" value="提交">
 </form>
 </body>
 </html>

程式運(yùn)行結(jié)果：

上述表單驗(yàn)證規(guī)則如下：

? ? ? ? ? 欄位	##? ? ? ? 驗(yàn)證規(guī)則
#? ? 名字	#必須。 +只能包含字母和空格
? ? E-mail	#必須。 + 必須是有效的電子郵件地址（包含'@'和'.'）
? ? 網(wǎng)址	可選。如果存在，它必須包含一個(gè)有效的URL
? ? 備註	可選。多行輸入欄位（文字領(lǐng)域）

#? ? 性別

必須。必須選擇一個(gè)

讓我們把程式碼分開(kāi)來(lái)看看：

文字欄位

#"名字", "E-mail", 及"網(wǎng)址"欄位為文字輸入元素text，"備註"欄位是文字域textarea。

HTML程式碼如下所示:

#姓名: <input type=" text" name="name" value="">
??? E-mail: <input type="text" name="email" value="">
網(wǎng)址: <input type=" text" name="website" value="">
備註: <textarea name="comment" rows="5" cols="40"></textarea>

#單選按鈕

「性別"欄位是radio單選按鈕

HTML程式碼如下所示：

#性別:
??? <input type=" radio" name="gender"? value="female">女
??? <input type="radio" name="gender"? value="male">男

#表單元素

#HTML 表單程式碼如下所示:

#<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"])";?>

此表單使用?method="post"?方法來(lái)提交資料。

#什麼是 $_SERVER["PHP_SELF"] 變數(shù)？

###$_SERVER["PHP_SELF"] 是一種超全域變量，它會(huì)傳回目前執(zhí)行腳本的檔案名稱(chēng)。 ###

因此，$_SERVER["PHP_SELF"] 將表單資料傳送到頁(yè)面本身，而不是跳到另一張頁(yè)面。這樣，使用者就能夠在表單頁(yè)面獲得錯(cuò)誤提示訊息。

什麼是 htmlspecialchars() 函數(shù)？

htmlspecialchars() 函數(shù)把特殊字元轉(zhuǎn)換成 HTML 實(shí)體。這意味著 < 和 > 之類(lèi)的 HTML 字元會(huì)被替換為 < 和 > 。這樣可防止攻擊者透過(guò)在表單中註入 HTML 或 JavaScript 程式碼（跨網(wǎng)站腳本攻擊）來(lái)利用程式碼。

關(guān)於 PHP 表單安全性的重要提示

#$_SERVER["PHP_SELF"] 變數(shù)能夠被駭客利用！

如果您的頁(yè)面使用了 PHP_SELF，使用者能夠輸入下劃線(xiàn)然後執(zhí)行跨站點(diǎn)腳本（XSS）又叫css。????????????????????????????????????

##?

提示：跨站點(diǎn)腳本（Cross-site scripting，XSS）是一種電腦安全漏洞類(lèi)型，常見(jiàn)於 Web 應(yīng)用程式。 XSS 能夠讓攻擊者向其他使用者瀏覽的網(wǎng)頁(yè)輸入客戶(hù)端腳本。

假設(shè)我們的一個(gè)名為"test_form.php" 的頁(yè)面中有以下表單：

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

##現(xiàn)在，我們使用URL來(lái)指定提交地址"test_form.php",以上程式碼修改為如下所示:

這樣做就太好了。但是，考慮到使用者會(huì)在瀏覽器網(wǎng)址列輸入以下網(wǎng)址:

http://miracleart.cn/test_form.php/%22 %3E%3Cscript%3Ealert('hacked')%3C/script%3E

####以上的URL 中，將被解析為如下程式碼並執(zhí)行：#### ########<form method="post" action="test_form.php/"><script>alert('hacked')</script>########## ###############程式碼中新增了script 標(biāo)籤，並新增了alert指令。當(dāng)頁(yè)面載入時(shí)會(huì)執(zhí)行該Javascript程式碼（使用者會(huì)看到彈出框）。這只是一個(gè)簡(jiǎn)單的實(shí)例來(lái)說(shuō)明PHP_SELF變數(shù)會(huì)被駭客利用。 ###

請(qǐng)注意，?任何JavaScript程式碼可以加入<script>標(biāo)籤中！?駭客可以利用這點(diǎn)重定向頁(yè)面到另外一臺(tái)伺服器的頁(yè)面上，頁(yè)面程式碼檔案中可以保護(hù)惡意程式碼，程式碼可以修改全域變數(shù)或取得使用者的表單資料。

如何避免$_SERVER["PHP_SELF"] 被利用?

#$_SERVER ["PHP_SELF"] 可以透過(guò)htmlspecialchars() 函數(shù)來(lái)避免被利用。

form 程式碼如下：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]) ;?>">

htmlspecialchars() 把一些預(yù)先定義的字元轉(zhuǎn)換成HTML 實(shí)體。現(xiàn)在如果使用者想利用PHP_SELF 變數(shù), 結(jié)果將輸出如下所示：

#<form method="post" action="test_form.php/"><script> alert('hacked')</script>">

#嘗試漏洞失??！

透過(guò)PHP 驗(yàn)證表單資料

#我們要做的第一件事是透過(guò)PHP 的htmlspecialchars() 函數(shù)傳遞所有變數(shù)。在我們使用htmlspecialchars() 函數(shù)後，如果使用者試圖在文字欄位中提交以下內(nèi)容：

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP中文網(wǎng)(php.cn)</title>
 </head>
 <body>
 
 <?php
 // 定義變量并默認(rèn)設(shè)置為空值
 $name = $email = $gender = $comment = $website = "";
 
 if ($_SERVER["REQUEST_METHOD"] == "POST")
 {
     $name = test_input($_POST["name"]);
     $email = test_input($_POST["email"]);
     $website = test_input($_POST["website"]);
     $comment = test_input($_POST["comment"]);
     $gender = test_input($_POST["gender"]);
 }
 
 function test_input($data)
 {
     $data = trim($data);
     $data = stripslashes($data);
     $data = htmlspecialchars($data);
     return $data;
 }
 ?>
 
 <h2>PHP 表單驗(yàn)證實(shí)例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
     名字: <input type="text" name="name">
     <br><br>
     E-mail: <input type="text" name="email">
     <br><br>
     網(wǎng)址: <input type="text" name="website">
     <br><br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br><br>
     性別:
     <input type="radio" name="gender" value="female">女
     <input type="radio" name="gender" value="male">男
     <br><br>
     <input type="submit" name="submit" value="提交">
 </form>
 
 <?php
 echo "<h2>您輸入的內(nèi)容是:</h2>";
 echo $name;
 echo "<br>";
 echo $email;
 echo "<br>";
 echo $website;
 echo "<br>";
 echo $comment;
 echo "<br>";
 echo $gender;
 ?>
 
 </body>

###運(yùn)行程式看看吧###

注意：我們?cè)趫?zhí)行上述腳本時(shí)，會(huì)透過(guò)$_SERVER["REQUEST_METHOD"]來(lái)偵測(cè)表單是否被提交。如果 REQUEST_METHOD 是 POST, 表單將被提交 - 資料將被驗(yàn)證。如果表單未提交將跳過(guò)驗(yàn)證並顯示空白。

在上述實(shí)例中使用輸入項(xiàng)目都是可選的，即使使用者不輸入任何資料也可以正常顯示。

在接下來(lái)的章節(jié)中我們將介紹如何對(duì)使用者輸入的資料進(jìn)行驗(yàn)證。

繼續(xù)學(xué)習(xí)

新建檔案

<!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <title>PHP.cn</title> </head> <body> <h2>PHP 表單驗(yàn)證實(shí)例</h2> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 名字: <input type="text" name="name" value=""> <br> E-mail: <input type="text" name="email" value=""> <br> 網(wǎng)址: <input type="text" name="website" value=""> <br> 備注: <textarea name="comment" rows="5" cols="40"></textarea> <br> 性別: <input type="radio" name="gender" value="female">女 <input type="radio" name="gender" value="male">男 <br> <input type="submit" name="submit" value="提交"> </form> </body> </html>

提交重置程式碼

自動(dòng)運(yùn)行