PHP表單之表單驗證

阿新 • • 發佈：2019-01-01

一、表單安全

1、htmlspecialchars()函式

把特殊字元轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字元會被替換為 < 和 > 。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 程式碼（跨站點指令碼攻擊）對程式碼進行利用。

跨站點指令碼攻擊（Cross Site Scripting）：為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意html程式碼，當用戶瀏覽該頁之時，嵌入其中Web裡面的html程式碼會被執行，從而達到惡意攻擊使用者的特殊目的。

HTML 實體：HTML 中的預留字元必須被替換為字元實體。如果希望正確地顯示預留字元，我們必須在 HTML 原始碼中使用字元實體（character entities）。

顯示結果	描述	實體名稱	實體編號
空格
<	小於號	<	<
>	大於號	>	>
&	和號	&	&
“	引號	"	"
‘	撇號	' (IE不支援)	'
￠	分	¢	¢
£	鎊	£	£
¥	日圓	¥	¥
€	歐元	€	€
§	小節	§	§
©	版權	©	©
®	註冊商標	®	®
™	商標	™	™
×	乘號	×	×
÷	除號	÷	÷

一個簡單的加法器（注意看其中的htmlspecialchars）

<html>
<body>

<form method='post' action='<?php echo htmlspecialchars($_SERVER['PHP_SELF'])?>'>
<input type="text" pattern="[0-9]*" name="left">
+
<input type="text" pattern="[0-9]*" name="right">
=
<input type="submit" value="計算">
</form>

</body>
</html>

<?php
echo $_POST['left']+$_POST['right'];
?>

2、建立表單驗證函式

<html>
<head>
<title>表單測試</title>
</head>
<body>

<?php 
$name = $email = $website=$comment="";
function format_input($data){
    $data=trim($data);#去除首尾多餘的空白符
    $data=stripcslashes($data);#去除使用者輸入的反斜槓
    $data=htmlspecialchars($data);#轉化為html實體
    return $data;
}
if($_SERVER['REQUEST_METHOD']=="POST"){
    $name=format_input($_POST['name']);    
    $email=format_input($_POST['email']);
    $website=format_input($_POST['website']);
    $comment=format_input($_POST['comment']);
}
?>

<form method="POST" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'])?>">
姓名：<input type="text" name="name" />
<br /><br />
電郵：<input type="text" name="email" />
<br /><br />
網址：<input type="text" name="website" />
<br /><br />
評論：<textarea cols="22" rows="5" name="comment"></textarea>
<br /><br />
<input type='submit' value='提交' />
</form>
<?php
echo "<br />name:".$name;
echo "<br />email:".$email;
echo "<br />website:".$website;
echo "<br />comment:".$comment;
?>

</body>
</html>

二、表單必填

欄位	驗證規則
Name	必需。必須包含字母和空格。
E-mail	必需。必須包含有效的電子郵件地址（包含 @ 和 .）。
Website	可選。如果選填，則必須包含有效的 URL。
Comment	可選。多行輸入欄位（文字框）。

<html>
<head>
<title>表單必填</title>
<style>
.error {color:#FF0000;}
</style>
</head>
<body>

<?php 
$name = $email = $website=$comment="";
$nameErr=$emailErr=$websiteErr=$commentErr="";
function format_input($data){
    $data=trim($data);#去除首尾多餘的空白符
    $data=stripcslashes($data);#去除使用者輸入的反斜槓
    $data=htmlspecialchars($data);#轉化為html實體
    return $data;
}
if($_SERVER['REQUEST_METHOD']=="POST"){
    if(empty($_POST['name']))
        $nameErr="姓名是必填的！";
    else
        $name=format_input($_POST['name']);   
    if(empty($_POST['email']))
        $emailErr="郵箱是必填的！";
    else
        $email=format_input($_POST['email']);
    $website=format_input($_POST['website']);
    $comment=format_input($_POST['comment']);
}
?>

<form method="POST" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'])?>">
姓名：<input type="text" name="name" />
<span class="error">*<?php echo $nameErr; ?></span>
<br /><br />
電郵：<input type="text" name="email" />
<span class="error">*<?php echo $emailErr; ?></span>
<br /><br />
網址：<input type="text" name="website" />
<br /><br />
評論：<textarea cols="22" rows="5" name="comment"></textarea>
<br /><br />
<input type='submit' value='提交' />
</form>
<?php
echo "<br />name:".$name;
echo "<br />email:".$email;
echo "<br />website:".$website;
echo "<br />comment:".$comment;
?>

</body>
</html>

三、格式匹配

利用正則表示式(Regular Expression)對使用者輸入的資料進行格式驗證。更多有關正則表示式的知識請看正則表示式30分鐘入門教程以及正則表示式全部符號解釋。

int preg_match ( string $pattern , string $subject );
搜尋subject與pattern給定的正則表示式的一個匹配。

Regex quick reference

符號	意義
[abc]	A single character: a, b or c
[^abc]	Any single character but a, b, or c
[a-z]	Any single character in the range a-z
[a-zA-Z]	Any single character in the range a-z or A-Z
^	Start of line
$	End of line
\A	Start of string
\z	End of string
.	Any single character
\s	Any whitespace character
\S	Any non-whitespace character
\d	Any digit
\D	Any non-digit
\w	Any word character (letter, number, underscore)
\W	Any non-word character
\b	Any word boundary character
(…)	Capture everything enclosed
(a	b)
a?	Zero or one of a
a*	Zero or more of a
a+	One or more of a
a{3}	Exactly 3 of a
a{3,}	3 or more of a
a{3,6}	Between 3 and 6 of a

1、匹配姓名

“/^[a-zA-Z ]*$/”
只允許空格和字母，”^”表示開頭，”$”表示結尾，[a-zA-Z ]表示a-z或者A-Z或者空格中的一個字元。

$name = test_input($_POST["name"]);
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
  $nameErr = "只允許字母和空格！"; 
}

2、匹配E-mail

“/([\w-]+\@[\w-]+.[\w-]+)/”
“\w”匹配包括下劃線的任何單詞字元。等價於’[A-Za-z0-9_]’；
+匹配前面的子表示式一次或多次；
“-“匹配”-“。

3、匹配URL

“/\b(?:(?:https?|ftp):\/\/|www.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i”

四、保留表單中的值

原理：在input標籤中嵌入PHP指令碼。
如果type=”text”,那麼就嵌入value=”<?php echo $valuableName; ?>”
如果type=”radio”,那麼就嵌入<?php if (isset($valuableName) && $valuableName==”value1”) echo “checked”;?>

最後寫了一個簡單的登入表單：

<html>
<head>
<title>一個簡易的登入表單</title>
</head>

<body>
<?php 
$email = $passwd ="";
$emailErr=$passwdErr="";

if($_SERVER['REQUEST_METHOD']=='POST'){
    if(empty($_POST['email']))
        $emailErr='請輸入郵箱！';
    else if(preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$_POST['email']))
        $email=clear_input($_POST['email']);
    else $emailErr="請輸入有效的郵箱！";
    if(empty($_POST['passwd']))
        $passwdErr='請輸入密碼！';
    else 
        $passwd=clear_input($_POST['passwd']); 
}
function clear_input($data){
    $data=trim($data);
    $data=stripcslashes($data);
    $data=htmlspecialchars($data);
    return $data;
}
?>

<form method="post" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']);?>">
郵箱：<input type="text" name="email" value="<?php echo $email;?>" />
<span class='error'><?php echo $emailErr;?></span>
<br />
密碼：<input type="password" name="passwd" value="<?php echo $passwd;?>"/>
<span class='error'><?php echo $passwdErr;?></span>
<br />
<input type="submit" name="submit" value="登入">
</form>
<?php
echo "你輸入的<br />";
echo "郵箱：".$email;
echo "<br />";
echo "密碼：".$passwd;
?>

</body>
</html>

PHP表單之表單驗證

一、表單安全 1、htmlspecialchars()函式把特殊字元轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字元會被替換為 < 和 > 。這樣可防止攻擊者通過在表單中注入 HTML 或 J

Django表單之使用表單

本文轉載自http://www.liujiangblog.com/course/django/152，供記錄學習使用。假設你想從表單接收使用者名稱資料，一般情況下，你需要在HTML中手動編寫一個如下的表單元素： <form action="/your-name/" method=

php之表單-2（表單驗證）

eth left cit span dem 讓我但是 cape ren PHP 表單驗證本章節我們將介紹如何使用PHP驗證客戶端提交的表單數據。 PHP 表單驗證在處理PHP表單時我們需要考慮安全性。本章節我們將展示PHP表單數據安全處理

easyui 之表單驗證

pla focus res default code font led disable function 1 /** 2 * 擴展easyui的validator插件rules，支持更多類型驗證 3 */ 4 $.extend($.fn.val

（十二）easyUI之表單和驗證完成登錄頁面

() 成功 options 表單提交 odi 1-1 java ima 1.4 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

SpringBoot之表單驗證@Valid

BE index ror ner HR 大小 doctype implement 空格 SpringBoot提供了強大的表單驗證功能實現，給我們省去了寫驗證的麻煩；這裏我們給下實例，提交一個有姓名和年齡的表單添加功能，要求姓名不能為空，年齡必須是不小於18 ；我們先新

.net學習之表單驗證validator

表單驗證是很常見的，一般除了前端需要驗證資料是否為空，還需要驗證資料格式是否符合要求，一般使用正則表示式驗證，當然，除了前端，後端一般也需要將資料進行驗證，比如客戶端（瀏覽器）將js等前端指令碼禁用，點選提交，那麼不符合規範的資料就會提交到後臺，這回導致系統出現問題。 .net中

JQUERY之表單驗證案例

<!-- 需求：使用者註冊頁面要有使用者名稱、密碼、確認密碼、郵箱使用者名稱文字框：使用者名稱不能為空，且必須為數字與字母的6到12位的組合密碼框：密碼不能為空，六到八位數字或字母的組合確認密碼框：確認密碼不能為空，六到八位數字或字母

springboot+thymeleaf之表單驗證

本篇講述在spring boot框架中使用thymeleaf庫實現表單提交。 1 新建thymeleaf工程使用IDEA的spring initialize嚮導新建spring boot工程，選擇庫web和thymeleaf，這樣生成的工程中的pom.xml中包含web

HTML表單之郵箱驗證

學習HTML，表單是一個很重要的知識，而表單最常用的可能就是表單的驗證了；下面我介紹驗證郵箱的一種方法：先上程式碼：（注：這個程式碼是可以執行的，可以自己試試，把重點放在js和表單裡面！） <!DOCTYPE html> <html> <

微信小程式之表單驗證

表單驗證何為表單驗證呢？百度百科給出的回答是這樣的：表單驗證是javascript中的高階選項之一。JavaScript 可用來在資料被送往伺服器前對 HTML 表單中的這些輸入資料進行驗證 [1] 。被 Jav

php 表單提交表單前端驗證

//HTML 程式碼 <form id="form"> <input type="hidden" name="status" value="<?php echo $_GET['status'] ?>" /

第十招 PHP之表單處理

表單中的輸入框型別當輸入的內容為普通文字時，type的值為text <input type="text" name="user"> 當輸入的內容為密碼時，type的值為password <input type="password" name="pwd">

PHP常用(正則)表單驗證類

這些天一直在整理專案,就把一些常用的總結了一下. <?php /** * 頁面作用：常用表單驗證類 */ class class_post { //驗證是否為指定長度的字母/數字組合 function fun_text1($num1,$num2,$str) {

Springboot之表單驗證

實體類 @TableName("lh_admin") public class Admin extends Model<Admin> { private static final long serialVersionUID = 1L; /**

SpringBoot系列（六）SpringBoot 之表單驗證

本系列部落格將學習開發SpringBoot，快速開發專案 SpringBoot系列 (六)：SpringBoot 之表單驗證文件結構 SpringBoot 之表單驗證@Valid示例

Ajax應用之——表單驗證

1.關於表單驗證：一般有兩種驗證方法：客戶端的(通過JavaScript)；伺服器端的;a)原來客戶端JavaScript的缺點是：所有資料及邏輯操作完全在客戶端，因此要涉及到伺服器端的資料問題時，都需要最後點選按鈕，到伺服器端進行讀取驗證。現在改進的方法，Ajax實現更友好

angular表單驗證之表單巢狀

正常情況下我們的瀏覽器不支援兩層的表單巢狀，所以，angular提供了ng-form來讓我們達到這樣的目的，主要用於部分表單提交，同時進行表單驗證。 <from> <ng

微信小程式開發之表單驗證（WxValidate使用）

微信小程式的開發框架個人感覺大體上跟VUE是差不多的，但是他的表單元件沒有自帶的驗證功能，因此開發小程式的表單驗證時候一般有兩種方法，一是自己裸寫驗證規則，但是需要比較紮實的正則表示式基礎，一種是利用官方社群開發的WxValidate外掛進行表單驗證。 WxValidat

Laravel摘記之表單驗證

表單驗證表單驗證是為了防止訪問者跳過客戶端驗證而造成的系統安全問題，一但非法使用者繞過客戶端驗證而伺服器端沒有加以驗證，這樣就是很不安全了，所以專案必須要進行伺服器端表單驗證。 Laravel 提供了多種不同的驗證方法來對應用程式傳入的資料進行驗證。

PHP表單之表單驗證

一、表單安全

1、htmlspecialchars()函式

2、建立表單驗證函式

二、表單必填

三、格式匹配

1、匹配姓名

2、匹配E-mail

3、匹配URL

四、保留表單中的值

相關推薦