目錄
- 表單處理
- 表單驗(yàn)證
- 必填字段 驗(yàn)證 E-mail 和 URL
- 完成表單實(shí)例
表單處理
GET vs. POST
1 GET 和 POST 都創(chuàng)建數(shù)組(例如,array( key => value, key2 => value2, key3 => value3, ...))。此數(shù)組包含鍵/值對(duì),其中的鍵是表單控件的名稱,而值是來(lái)自用戶的輸入數(shù)據(jù)。
2 GET 和 POST 被視作 $_GET 和 $_POST。它們是超全局變量,這意味著對(duì)它們的訪問(wèn)無(wú)需考慮作用域 - 無(wú)需任何特殊代碼,您能夠從任何函數(shù)、類或文件訪問(wèn)它們。
3 傳遞方式
$_GET 是通過(guò) URL 參數(shù)傳遞到當(dāng)前腳本的變量數(shù)組。
$_POST 是通過(guò) HTTP POST 傳遞到當(dāng)前腳本的變量數(shù)組。
(1)何時(shí)使用 GET?
通過(guò) GET 方法從表單發(fā)送的信息對(duì)任何人都是可見(jiàn)的(所有變量名和值都顯示在 URL 中)。GET 對(duì)所發(fā)送信息的數(shù)量也有限制。限制在大約 2000 個(gè)字符。
GET 可用于發(fā)送非敏感的數(shù)據(jù)。
注釋:絕不能使用 GET 來(lái)發(fā)送密碼或其他敏感信息!
(2)何時(shí)使用 POST?
通過(guò) POST 方法從表單發(fā)送的信息對(duì)其他人是不可見(jiàn)的(所有名稱/值會(huì)被嵌入 HTTP 請(qǐng)求的主體中),并且對(duì)所發(fā)送信息的數(shù)量無(wú)限制。
此外 POST 支持高階功能,比如在向服務(wù)器上傳文件時(shí)進(jìn)行 multi-part 二進(jìn)制輸入。
提示:開(kāi)發(fā)者偏愛(ài) POST 來(lái)發(fā)送表單數(shù)據(jù)。
表單驗(yàn)證
htmlspecialchars() 函數(shù)
如果要將表單提交給頁(yè)面本身,而不是跳轉(zhuǎn)到另一張頁(yè)面。這樣,用戶就能夠在表單頁(yè)面獲得錯(cuò)誤提示信息。
表單的 HTML 代碼是這樣的:
form method="post" action="?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
(1)什么是 $_SERVER["PHP_SELF"] 變量?
$_SERVER["PHP_SELF"] 是一種超全局變量,它返回當(dāng)前執(zhí)行腳本的文件名。
因此,$_SERVER["PHP_SELF"] 將表單數(shù)據(jù)發(fā)送到頁(yè)面本身,而不是跳轉(zhuǎn)到另一張頁(yè)面。這樣,用戶就能夠在表單頁(yè)面獲得錯(cuò)誤提示信息。
(2)什么是 htmlspecialchars() 函數(shù)?
htmlspecialchars() 函數(shù)把特殊字符轉(zhuǎn)換為 HTML 實(shí)體。這意味著 和 > 之類的 HTML 字符會(huì)被替換為 lt; 和 gt; ,頁(yè)面效果仍是 >。這樣可防止攻擊者通過(guò)在表單中注入 HTML 或 JavaScript 代碼(跨站點(diǎn)腳本攻擊)對(duì)代碼進(jìn)行利用。
如果沒(méi)有 htmlspecialchars() 函數(shù)
hacker輸入url:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
表單處則會(huì)轉(zhuǎn)換為:
form method="post" action="test_form.php"/>script>alert('hacked')/script>
典型反射xss
表單檢查函數(shù):
?php
// 定義變量并設(shè)置為空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
必填字段 驗(yàn)證 E-mail 和 URL
1.驗(yàn)證名字
以下代碼展示的簡(jiǎn)單方法檢查 name 字段是否包含字母和空格。如果 name 字段無(wú)效,則存儲(chǔ)一條錯(cuò)誤消息:
$name = test_input($_POST["name"]);
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
$nameErr = "只允許字母和空格!";
}
2.驗(yàn)證 E-mail
以下代碼展示的簡(jiǎn)單方法檢查 e-mail 地址語(yǔ)法是否有效。如果無(wú)效則存儲(chǔ)一條錯(cuò)誤消息:
$email = test_input($_POST["email"]);
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr = "無(wú)效的 email 格式!";
}
3.驗(yàn)證 URL
以下代碼展示的方法檢查 URL 地址語(yǔ)法是否有效(這條正則表達(dá)式同時(shí)允許 URL 中的斜杠)。如果 URL 地址語(yǔ)法無(wú)效,則存儲(chǔ)一條錯(cuò)誤消息:
$website = test_input($_POST["website"]);
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+@#\/%?=~_|!:,.;]*[-a-z0-9+@#\/%
=~_|]/i",$website)) {
$websiteErr = "無(wú)效的 URL";
}
完成表單實(shí)例
!DOCTYPE HTML>
html>
head>
style>
.error {color: #FF0000;}
/style>
/head>
body>
?php
// 定義變量并設(shè)置為空值
$nameErr = $emailErr = $genderErr = $websiteErr = "";
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
if (empty($_POST["name"])) {
$nameErr = "姓名是必填的";
} else {
$name = test_input($_POST["name"]);
// 檢查姓名是否包含字母和空白字符
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
$nameErr = "只允許字母和空格";
}
}
if (empty($_POST["email"])) {
$emailErr = "電郵是必填的";
} else {
$email = test_input($_POST["email"]);
// 檢查電子郵件地址語(yǔ)法是否有效
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr = "無(wú)效的 email 格式";
}
}
if (empty($_POST["website"])) {
$website = "";
} else {
$website = test_input($_POST["website"]);
// 檢查 URL 地址語(yǔ)法是否有效(正則表達(dá)式也允許 URL 中的斜杠)
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+@#\/%?=~_|!:,.;]*[-a-z0-9+@#\/%=~_|]/i",$website)) {
$websiteErr = "無(wú)效的 URL";
}
}
if (empty($_POST["comment"])) {
$comment = "";
} else {
$comment = test_input($_POST["comment"]);
}
if (empty($_POST["gender"])) {
$genderErr = "性別是必選的";
} else {
$gender = test_input($_POST["gender"]);
}
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
h2>PHP 驗(yàn)證實(shí)例/h2>
p>span class="error">* 必需的字段/span>/p>
form method="post" action="?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
姓名:input type="text" name="name">
span class="error">* ?php echo $nameErr;?>/span>
br>br>
電郵:input type="text" name="email">
span class="error">* ?php echo $emailErr;?>/span>
br>br>
網(wǎng)址:input type="text" name="website">
span class="error">?php echo $websiteErr;?>/span>
br>br>
評(píng)論:textarea name="comment" rows="5" cols="40">
以上就是PHP表單相關(guān)知識(shí)總結(jié)的詳細(xì)內(nèi)容,更多關(guān)于PHP表單的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!
您可能感興趣的文章:- 實(shí)例講解PHP表單驗(yàn)證功能
- 實(shí)例講解PHP表單處理
- php防止表單重復(fù)提交實(shí)例講解
- php 提交表單 關(guān)閉layer彈窗iframe的實(shí)例講解
- ThinkPHP防止重復(fù)提交表單的方法實(shí)例分析
- thinkPHP5 ajax提交表單操作實(shí)例分析
- PHP用正則匹配form表單中所有元素的類型和屬性值實(shí)例代碼
- 微信小程序 PHP后端form表單提交實(shí)例詳解
