例項講解PHP表單
表單處理
GET vs. POST
1 GET 和 POST 都建立陣列(例如,array( key => value,key2 => value2,key3 => value3,...))。此陣列包含鍵/值對,其中的鍵是表單控制元件的名稱,而值是來自使用者的輸入資料。
2 GET 和 POST 被視作 $_GET 和 $_POST。它們是超全域性變數,這意味著對它們的訪問無需考慮作用域 - 無需任何特殊程式碼,您能夠從任何函式、類或檔案訪問它們。
3 傳遞方式
$_GET 是通過 URL 引數傳遞到當前指令碼的變數陣列。
$_POST 是通過 HTTP POST 傳遞到當前指令碼的變數陣列。
(1)何時使用 GET?
通過 GET 方法從表單傳送的資訊對任何人都是可見的(所有變數名和值都顯示在 URL 中)。GET 對所傳送資訊的數量也有限制。限制在大約 2000 個字元。
GET 可用於傳送非敏感的資料。
註釋:絕不能使用 GET 來發送密碼或其他敏感資訊!
(2)何時使用 POST?
通過 POST 方法從表單傳送的資訊對其他人是不可見的(所有名稱/值會被嵌入 HTTP 請求的主體中),並且對所傳送資訊的數量無限制。
此外 POST 支援高階功能,比如在向伺服器上傳檔案時進行 multi-part 二進位制輸入。
提示:開發者偏愛 POST 來發送表單資料。
表單驗證
htmlspecialchars() 函式
如果要將表單提交給頁面本身,而不是跳轉到另一張頁面。這樣,使用者就能夠在表單頁面獲得錯誤提示資訊。
表單的 HTML 程式碼是這樣的:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
(1)什麼是 $_SERVER["PHP_SELF"] 變數?
$_SERVER["PHP_SELF"] 是一種超全域性變數,它返回當前執行指令碼的檔名。
因此,$_SERVER["PHP_SELF"] 將表單資料傳送到頁面本身,而不是跳轉到另一張頁面。這樣,使用者就能夠在表單頁面獲得錯誤提示資訊。
(2)什麼是 htmlspecialchars() 函式?
htmlspecialchars() 函式把特殊字元轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字元會被替換為 < 和 > ,頁面效果仍是< >。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 程式碼(跨站點指令碼攻擊)對程式碼進行利用。
如果沒有 htmlspecialchars() 函式
hacker輸入url:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
表單處則會轉換為:
<form method="post" action="test_form.php"/><script>alert('hacked')</script>
典型反射xss
表單檢查函式:
<?php // 定義變數並設定為空值 $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { $name = test_input($_POST["name"]); $email = test_input($_POST["email"]); $website = test_input($_POST["website"]); $comment = test_input($_POST["comment"]); $gender = test_input($_POST["gender"]); } function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } ?>
必填欄位 驗證 E-mail 和 URL
1.驗證名字
以下程式碼展示的簡單方法檢查 name 欄位是否包含字母和空格。如果 name 欄位無效,則儲存一條錯誤訊息:
$name = test_input($_POST["name"]); if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "只允許字母和空格!"; }
2.驗證 E-mail
以下程式碼展示的簡單方法檢查 e-mail 地址語法是否有效。如果無效則儲存一條錯誤訊息:
$email = test_input($_POST["email"]); if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "無效的 email 格式!"; }
3.驗證 URL
以下程式碼展示的方法檢查 URL 地址語法是否有效(這條正則表示式同時允許 URL 中的斜槓)。如果 URL 地址語法無效,則儲存一條錯誤訊息:
$website = test_input($_POST["website"]); if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/% =~_|]/i",$website)) { $websiteErr = "無效的 URL"; }
完成表單例項
<!DOCTYPE HTML> <html> <head> <style> .error {color: #FF0000;} </style> </head> <body> <?php // 定義變數並設定為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { if (empty($_POST["name"])) { $nameErr = "姓名是必填的"; } else { $name = test_input($_POST["name"]); // 檢查姓名是否包含字母和空白字元 if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "只允許字母和空格"; } } if (empty($_POST["email"])) { $emailErr = "電郵是必填的"; } else { $email = test_input($_POST["email"]); // 檢查電子郵件地址語法是否有效 if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "無效的 email 格式"; } } if (empty($_POST["website"])) { $website = ""; } else { $website = test_input($_POST["website"]); // 檢查 URL 地址語法是否有效(正則表示式也允許 URL 中的斜槓) if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) { $websiteErr = "無效的 URL"; } } if (empty($_POST["comment"])) { $comment = ""; } else { $comment = test_input($_POST["comment"]); } if (empty($_POST["gender"])) { $genderErr = "性別是必選的"; } else { $gender = test_input($_POST["gender"]); } } function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } ?> <h2>PHP 驗證例項</h2> <p><span class="error">* 必需的欄位</span></p> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 姓名:<input type="text" name="name"> <span class="error">* <?php echo $nameErr;?></span> <br><br> 電郵:<input type="text" name="email"> <span class="error">* <?php echo $emailErr;?></span> <br><br> 網址:<input type="text" name="website"> <span class="error"><?php echo $websiteErr;?></span> <br><br> 評論:<textarea name="comment" rows="5" cols="40">
以上就是PHP表單相關知識總結的詳細內容,更多關於PHP表單的資料請關注我們其它相關文章!