PHP教學-表單驗證
PHP 表單驗證
提示:在處理 PHP 表單時請重視安全性!
這些頁面將展示如何安全地處理 PHP 表單。對 HTML 表單資料進行適當的驗證對於防範黑客和垃圾郵件很重要!
我們稍後使用的 HTML 表單包含多種輸入字段:必需和可選的文本字段、單選按鈕以及提交按鈕:
上面的表單使用如下驗證規則:
什麼是 htmlspecialchars() 函數?
| 字段 | 驗證規則 |
|---|---|
| Name | 必需。必須包含字母和空格。 |
| 必需。必須包含有效的電子郵件地址(包含 @ 和 .)。 | |
| Website | 可選。如果選填,則必須包含有效的 URL。 |
| Comment | 可選。多行輸入字段(文本框)。 |
| Gender | 必需。必須選擇一項。 |
首先我們看一下這個表單的純 HTML 程式碼:
文本字段
name、email 和 website 屬於文本輸入元素,comment 字段是文本框。HTML 程式碼是這樣的:
Name: <input type="text" name="name"> E-mail: <input type="text" name="email"> Website: <input type="text" name="website"> Comment: <textarea name="comment" rows="5" cols="40"></textarea>
單選按鈕
gender 字段是單選按鈕,HTML 程式碼是這樣的:
Gender: <input type="radio" name="gender" value="female">Female <input type="radio" name="gender" value="male">Male
表單元素
表單的 HTML 程式碼是這樣的:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
當提交此表單時,通過 method="post" 發送表單資料。
什麼是 $_SERVER["PHP_SELF"] 變數?
什麼是 $_SERVER["PHP_SELF"] 變數?
$_SERVER["PHP_SELF"] 是一種超全域變數,它返回當前執行scripts的文件名。
因此,$_SERVER["PHP_SELF"] 將表單資料發送到頁面本身,而不是跳轉到另一張頁面。這樣,用戶就能夠在表單頁面獲得錯誤提示訊息。
什麼是 htmlspecialchars() 函數?
htmlspecialchars()
函數把特殊字符轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字符會被替換為 < 和
> 。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 程式碼(跨站點scripts攻擊)對程式碼進行利用。
關於 PHP 表單安全性的重要提示
$_SERVER["PHP_SELF"] 變數能夠被黑客利用!
如果您的頁面使用了 PHP_SELF,用戶能夠輸入下劃線然後執行跨站點scripts(XSS)。
提示:跨站點scripts(Cross-site scripting,XSS)是一種小算盤安全漏洞類型,常見於 Web 套用程式。XSS 能夠使攻擊者向其他用戶瀏覽的網頁中輸入客戶端scripts。
假設我們的一張名為 "test_form.php" 的頁面中有如下表單:
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
現在,如果用戶進入的是地址欄中正常的 URL:"http://www.example.com/test_form.php",上面的程式碼會轉換為:
<form method="post" action="test_form.php">
到目前,一切正常。
不過,如果用戶在地址欄中鍵入了如下 URL:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
在這種情況下,上面的程式碼會轉換為:
<form method="post" action="test_form.php"/><script>alert('hacked')</script>
這段程式碼加入了一段scripts和一個提示命令。並且當此頁面加載後,就會執行 JavaScript 程式碼(用戶會看到一個提示框)。這僅僅是一個關於 PHP_SELF 變數如何被利用的簡單無害案例。
您應該意識到 <script> 標籤內能夠增加任何 JavaScript 程式碼!黑客能夠把用戶重定向到另一台伺服器上的某個文件,該文件中的惡意程式碼能夠更改全域變數或將表單提交到其他地址以存檔用戶資料,等等。
如果避免 $_SERVER["PHP_SELF"] 被利用?
通過使用 htmlspecialchars() 函數能夠避免 $_SERVER["PHP_SELF"] 被利用。
表單程式碼是這樣的:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
htmlspecialchars() 函數把特殊字元轉換為 HTML 實體。現在,如果用戶試圖利用 PHP_SELF 變數,會導致如下輸出:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">
無法利用,沒有危害!
通過 PHP 驗證表單資料
我們要做的第一件事是通過 PHP 的 htmlspecialchars() 函數傳遞所有變數。
在我們使用 htmlspecialchars() 函數後,如果用戶試圖在文本字段中提交以下內容:
<script>location.href('http://www.hacked.com')</script>
- 程式碼不會執行,因為會被存檔為轉義程式碼,就像這樣:
<script>location.href('http://www.hacked.com')</script>
現在這條程式碼顯示在頁面上或 e-mail 中是安全的。
在用戶提交該表單時,我們還要做兩件事:
(通過 PHP trim() 函數)去除用戶輸入資料中不必要的字符(多餘的空格、製表符、換行)
(通過 PHP stripslashes() 函數)刪除用戶輸入資料中的反斜槓(\)
(通過 PHP stripslashes() 函數)刪除用戶輸入資料中的反斜槓(\)
接下來我們新增一個檢查函數(相比一遍遍地寫程式碼,這樣效率更好)。
我們把函數命名為 test_input()。
現在,我們能夠通過 test_input() 函數檢查每個 $_POST 變數,scripts是這樣的:
範例
範例
<?php
// 定義變數並設置為空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
請注意在scripts開頭,我們檢查表單是否使用 $_SERVER["REQUEST_METHOD"] 進行提交。如果 REQUEST_METHOD 是 POST,那麼表單已被提交 - 並且應該對其進行驗證。如果未提交,則跳過驗證並顯示一個空白表單。
不過,在上面的例子中,所有輸入字段都是可選的。即使用戶未輸入任何資料,scripts也能正常工作。
留言
張貼留言