表单处理
- PHP 超全局变量
$_GET 和 $_POST 用于收集表单数据(form-data)
1. 一个简单的 HTML 表单(post请求)
- 它包含两个输入字段和一个提交按钮
- 当用户填写此表单并点击提交按钮后,表单数据会发送到名为 "welcome.php" 的 PHP 文件供处理。
- 表单数据是通过 HTTP POST 方法发送的。
<html>
<body>
<form action="welcome.php" method="post">
Name: <input type="text" name="name"><br>
E-mail: <input type="text" name="email"><br>
<input type="submit">
</form>
</body>
</html>
2. 如需显示出被提交的数据,可以在welcome.php文件中获取数据
<?php
//获取表单提交的数据
//使用post请求
$name=$_POST["name"];
$email=$_POST["email"];
//如果是是使用get请求
$name=$_GET["name"];
$email=$_GET["email"];
?>
3. GET vs. POST
- GET 和 POST 都创建数组(例如,array( key => value, key2 => value2, key3 => value3, ...))。此数组包含键/值对,其中的键是表单控件的名称,而值是来自用户的输入数据。
- GET 和 POST 被视作
$_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。
- $_GET 是通过 URL 参数传递到当前脚本的变量数组。
- $_POST 是通过 HTTP POST 传递到当前脚本的变量数组。
4. 何时使用 GET?
- 通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)
- GET 对所发送信息的数量也有限制。限制在大约 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。
- GET 可用于发送非敏感的数据。
- 绝不能使用 GET 来发送密码或其他敏感信息!
5. 何时使用 POST?
- 通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。
- POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。
- 不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。
表单验证
1. $_SERVER["PHP_SELF"] 变量
$_SERVER["PHP_SELF"] 是一种超全局变量,它返回当前执行脚本的文件名
因此,$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
2. htmlspecialchars() 函数
htmlspecialchars() 函数把特殊字符转换为 HTML 实体
这意味着 < 和 > 之类的 HTML 字符会被替换为 < 和 >
这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站点脚本攻击)对代码进行利用
3. 跨站点脚本(Cross-site scripting,XSS)是一种计算机安全漏洞类型,常见于 Web 应用程序。XSS 能够使攻击者向其他用户浏览的网页中输入客户端脚本
4. 如果避免 $_SERVER["PHP_SELF"] 被利用
通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用,是因为htmlspecialchars() 函数把特殊字符转换为 HTML 实体
表单代码是这样的:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
现在,如果用户试图利用 PHP_SELF 变量,会导致如下输出:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">
5. PHP trim() 函数:去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
6. PHP stripslashes() 函数 : 删除用户输入数据中的反斜杠(\)
//校验函数
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
7. empty() 函数:检查变量是否为空
8. preg_match() 函数检索字符串的模式,如果模式存在则返回 true,否则返回 false
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>表单验证</title>
<style>
.peritem {
display: flex;
margin: 18px 0;
}
.peritem .name {
width: 90px;
display: block;
text-align: right;
margin-right: 10px;
}
</style>
</head>
<body>
<div class="demo">
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]); ?>">
<div class="peritem">
<span class="name"> Name:</span>
<input type="text" name="name" value="<?php echo $name;?>">
<span class="error">* <?php echo $nameErr; ?></span>
</div>
<div class="peritem">
<span class="name"> E-mail:</span>
<input type="text" name="email" value="<?php echo $email;?>">
<span class="error">* <?php echo $emailErr; ?></span>
</div>
<div class="peritem">
<span class="name"> Website:</span>
<input type="text" name="website" value="<?php echo $website;?>">
<span class="error"><?php echo $websiteErr; ?></span>
</div>
<div class="peritem">
<span class="name"> Comment:</span>
<textarea name="comment" rows="5" cols="40">value="<?php echo $comment;?>"</textarea>
</div>
<div class="peritem">
<span class="name"> Gender:</span>
<input type="radio" name="gender"
<?php if (isset($gender) && $gender=="female") echo "checked";?>
value="female">Female
<input type="radio" name="gender"
<?php if (isset($gender) && $gender=="male") echo "checked";?>
value="male">Male
<span class="error">* <?php echo $genderErr; ?></span>
</div>
<input type="submit" name="submit" value="Submit">
</form>
</div>
</body>
</html>
<?php
// 定义变量并设置为空值
$name = $email = $gender = $comment = $website = "";
//定义错误信息
$nameErr = $emailErr = $genderErr = $websiteErr = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
if (empty($_POST["name"])) {
$nameErr = "Name is required";
} else {
//检查 name 字段是否包含字母和空格
$name = test_input($_POST["name"]);
if (!preg_match("/^[a-zA-Z ]*$/", $name)) {
$nameErr = "只允许字母和空格!";
}
}
if (empty($_POST["email"])) {
$emailErr = "Email is required";
} else {
$email = test_input($_POST["email"]);
// 检查电邮地址语法是否有效
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/", $email)) {
$emailErr = "无效的 email 格式!";
}
}
if (empty($_POST["website"])) {
$website = "";
} else {
$website = test_input($_POST["website"]);
// 检查 URL 地址语言是否有效(此正则表达式同样允许 URL 中的下划线)
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
=~_|]/i", $website)) {
$websiteErr = "无效的 URL";
}
}
if (empty($_POST["comment"])) {
$comment = "";
} else {
$comment = test_input($_POST["comment"]);
}
if (empty($_POST["gender"])) {
$genderErr = "Gender is required";
} else {
$gender = test_input($_POST["gender"]);
}
}
//(通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
//(通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)
//检查input输入函数
function test_input($data)
{
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
<!--preg_match() 函数检索字符串的模式,如果模式存在则返回 true,否则返回 false。-->