Tutoriel de base sur le développement PHP Validation de formulaire PHP

1. Vérification du formulaire PHP

Dans ce chapitre, nous présenterons comment utiliser PHP pour vérifier les données du formulaire soumises par le client.

Remarque : Nous devons prendre en compte la sécurité lors du traitement des formulaires PHP. Dans ce chapitre, nous démontrerons le traitement sécurisé des données du formulaire PHP. Afin de prévenir les pirates informatiques et le spam, nous devons effectuer une vérification de la sécurité des données sur le formulaire.

Le formulaire HTML introduit dans ce chapitre contient les champs de saisie suivants : champs de texte obligatoires et facultatifs, boutons radio et boutons de soumission.

2. Exemple d'affichage

Le code est le suivant :

    php.cn  
   PHP 表单验证实例
 * 必需字段。
 "> 名字:  *  

 E-mail:  *  

 网址:   

 备注: <?php echo $comment;?> 

 性别:  value="female">女  value="male">男 *  

  
 您输入的内容是:"; echo $name; echo "
"; echo $email; echo "
"; echo $website; echo "
"; echo $comment; echo "
"; echo $gender; ?>

L'effet de sortie est tel qu'indiqué à droite.

3. Explication pratique

1. Règles de vérification

2. Champs de texte

Les champs "Nom", "E-mail" et "Site Web" sont des éléments de saisie de texte, et les "Remarques" " Le champ est une zone de texte. Le code HTML est le suivant :

"Name":

E-mail :

Site Web :

Remarques :

3. Bouton radio

"Genre" Les champs sont des boutons radio et le code HTML ressemble à ceci :

Gender :

Female

Mâle

$_SERVER["PHP_SELF"] est une variable super globale qui renvoie le nom de fichier de l'exécutable en cours d'exécution. script et racine du document liés.

Ainsi, $_SERVER["PHP_SELF"] enverra les données du formulaire à la page actuelle au lieu de passer à une autre page.

Remarque :

htmlspecialchars() convertit certains caractères prédéfinis en entités HTML.

" Citation) Devenez '

& LT; (moins) pour devenir & lt;
& gt; (plus grand) pour devenir & gt ;
5. À quoi faut-il faire attention dans les formulaires PHP ?
La variable $_SERVER["PHP_SELF"] peut être utilisée par des pirates !

Lorsque les pirates utilisent des liens HTTP de script intersite pour attaquer, la variable serveur $_SERVER["PHP_SELF"] sera également intégrée dans le script. La raison en est que les scripts intersites sont ajoutés au chemin du fichier exécutable, donc la chaîne $_SERVER["PHP_SELF"] contiendra le code du programme JavaScript derrière le lien HTTP.Remarque : XSS est également appelé CSS (Cross-Site Script), une attaque de script intersite. Des attaquants malveillants insèrent du code HTML malveillant dans une page Web Lorsqu'un utilisateur parcourt la page, le code HTML intégré dans la page Web sera exécuté, atteignant ainsi l'objectif particulier de l'utilisateur malveillant.

Spécifiez le nom de fichier de formulaire suivant comme "test_form.php":

Maintenant, nous utilisons l'URL pour spécifier l'adresse de soumission "test_form.php", le code ci-dessus est modifié comme suit :

C'est très bien.

Considérez cependant que l'utilisateur saisira l'adresse suivante dans la barre d'adresse du navigateur :

//m.sbmmt.com / test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

L'URL ci-dessus sera analysée dans le code suivant et exécutée :

Une balise de script a été ajoutée au code et une commande d'alerte a été ajoutée. Ce code Javascript sera exécuté au chargement de la page (l'utilisateur verra une boîte pop-up). Ceci n'est qu'un exemple simple de la façon dont la variable PHP_SELF peut être exploitée par des pirates.

Veuillez noter que n'importe quel code JavaScript peut être ajouté dans la balise ">

La tentative d'exploitation de cette vulnérabilité a échoué !

7. Utilisez PHP pour valider les données du formulaire

Tout d'abord, nous traitons toutes les données soumises par l'utilisateur via la fonction htmlspecialchars() de PHP

Lorsque nous utilisons la fonction htmlspecialchars(). , l'utilisateur essaie de soumettre le texte suivant. Domaine :

Ce code ne sera pas exécuté car il sera enregistré en tant que code HTML échappé, comme indiqué ci-dessous :

Le code ci-dessus est sûr et peut être affiché normalement sur la page ou inséré dans les e-mails

Lorsque le. l'utilisateur soumet le formulaire, nous ferons les deux choses suivantes :

Utilisez la fonction PHP trim() pour supprimer les caractères inutiles (tels que les espaces, les tabulations). , nouvelles lignes) dans les données d'entrée utilisateur

Utilisez la fonction PHP stripslashes() pour supprimer les barres obliques inverses dans les données d'entrée utilisateur()

Écrivons ensuite ceci. filtrer les fonctions dans une fonction définie par nous, cela peut grandement améliorer la réutilisabilité du code.
Nommez la fonction test_input(). Maintenant, nous pouvons détecter $_POST via la fonction test_input(). dans , le code du script est le suivant :

4. Résumé

Notez que lorsque nous exécuterons le script ci-dessus, nous utiliserons $_SERVER["REQUEST_METHOD"] pour détecter si le formulaire a été soumis. Si REQUEST_METHOD est POST, le formulaire sera soumis - et les données seront validées. Si le formulaire n’est pas soumis, la validation sera ignorée et affichée vide.

L'utilisation d'éléments de saisie dans les exemples ci-dessus est facultative et peut être affichée normalement même si l'utilisateur ne saisit aucune donnée.

Dans le chapitre suivant, nous présenterons comment vérifier les données saisies par l'utilisateur

Formation continue

||

nouveau fichier

php.cn

PHP 表单验证实例

* 必需字段。
"> 名字: *

E-mail: *

网址:

备注: <?php echo $comment;?>

性别: value="female">女 value="male">男 *

您输入的内容是:"; echo $name; echo "
"; echo $email; echo "
"; echo $website; echo "
"; echo $comment; echo "
"; echo $gender; ?>

soumettre Réinitialiser le code
Opération automatique