織夢自定義表單

1.前臺提交數據過濾

前臺數據過濾主要針對普通用戶，在HTML層面，通過Js方式，對提交的數據進行校驗。如判斷表單是否為空、郵箱是否正確等。比如使用下面的Js代碼來驗證提交的內容是否為空：

<script type="text/javascript"> function check(){ var fankui=document.getElementById('fankui'); var names=document.getElementById('names'); if(fankui.value.length==0){ alert("反饋內容不能為空"); fankui.value=""; fankui.focus(); return false; } if(names.value.length==0){ alert("姓名不能為空"); names.value=""; names.focus(); return false; } } </script>

這是很簡單的驗證辦法，一般情況下使用這個驗證就足夠了，但修改后依然會被垃圾信息騷擾，而上面的JS也僅僅是判斷是否為空，表單也非常簡單，隨便填寫幾個數值就能夠通過。

所以建議采用一些別的成熟的表單驗證插件，如一款jquery表單驗證插件Validform，可以實現更加強大的驗證功能等，如是否提交的郵箱、手機等信息。

當然，這個只是前臺界面的數據驗證，只能防范一些不懂網站制作的用戶，稍微懂些網站知識的用戶，就可以繞開前臺直接向系統提交數據，這就需要在提交的PHP文件中進行相應的數據校驗了。

2.PHP提交數據過濾

織夢DedeCMS的自定義表單提交PHP文件是plus下的diy.php文件，所以對提交數據的校驗也在這個文件中進行。比如校驗用戶提交的某個字段是否是手機號、郵箱等。這種校驗的方法是利用正則表達式的方式，檢測手機號碼和郵箱，修改plus下的diy.php，再提交入庫的代碼前插入下面代碼：

//判斷手機號碼是否正確 if(!eregi("^((13[0-9])|147|(15[0-35-9])|180|182|(18[5-9]))[0-9]{8}$",$telphone)) { showMsg('手機號碼不對,請正確填寫', '-1'); exit(); } //驗證郵箱 if (!eregi("^[_.0-9a-z-]+@([0-9a-z][0-9a-z-]+.)+[a-z]{2,3}$",$email)) { showMsg('請您填寫正確的E-Mail 地址!', '-1'); exit(); }

其中的 $telphone和$email就是提交的手機號碼和郵箱值名，如果不是我設定的可以自行修改。所以這里使用的正則表達式是否正確就非常重要了，不正確的正則表達式，會造成垃圾信息提交或者正常的信息無法提交等后果

3.PHP限制用戶提交次數

解決以上兩個問題之后，還有一個問題，就是某些用戶有意或者無意的提交了多次表單，這也會給信息收集工作帶來巨大的壓力，所以我們也要努力地降低這個方面的工作量。我們可以采用驗證Cookies方法，達到織夢DedeCMS自定義表單限制IP24小時只能發布一次功能。

實現方法是，打開plus下diy.php文件找到以下代碼：

if(!is_array($diyform)) { showmsg('自定義表單不存在', '-1'); exit(); }

再其下添加下面的代碼：

if(isset($_COOKIE['VOTE_MEMBER_IP'])) { if($_COOKIE['VOTE_MEMBER_IP'] == $_SERVER['REMOTE_ADDR']) { ShowMsg('您已經填寫過表單啦','-1'); exit(); } else { setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/'); } } else { setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/'); }

當然，經過以上的操作，織夢DedeCMS的自定義表單并不是就完全的安全了，別人還可以清空Cookies的方式繼續重復提交，不過這些就不需要考慮那么多了，畢竟道高一尺魔高一丈，不可能百分百完美的。