PHPフォームの検証
HTML フォームの検証
フォームを使用して顧客から入力情報を収集する場合、顧客が期待どおりに規制を満たすコンテンツを入力することを当然のことと考えないでください。顧客の入力は常に厳密にチェックされなければなりません。
クライアント側の検証
クライアント側のフォーム検証は、通常、JavaScript スクリプトに基づく検証方法であり、サーバーの負担を効果的に軽減し、入力エラーを顧客に即座に通知することもできます。
サーバー側の検証
場合によっては、クライアント側の検証に加えて、サーバー側の検証も必要になることがあります (データベースへのアクセスなど)。このとき、PHPプログラム内で論理検証を行う必要があります。
PHP フォームを扱うときはセキュリティを考慮する必要があります。
この章では、ハッカーやスパムを防ぐために、フォームのデータセキュリティ検証を実行する必要がある、PHP フォームデータの安全な処理について説明します。
この章で紹介する HTML フォームには、必須およびオプションのテキスト フィールド、ラジオ ボタン、および送信ボタンの入力フィールドが含まれています:
コードを表示 »
上記のフォーム検証ルールは次のとおりです:
フィールド
電子メール。 + 有効な電子メール アドレスである必要があります (「@」と「.」を含む)
URL必須。存在する場合は、有効な URL が含まれている必要があります。 マルチライン入力フィールド(テキストフィールド)
ジェンダーが必要です。 1 つを選択する必要があります
まず、純粋な HTML フォーム コードを見てみましょう:
テキスト フィールド「名前」「電子メール」「ウェブサイト」フィールドはテキスト入力要素であり、「備考」フィールドはテキストエリアです。 HTML コードは次のとおりです:
"名前": <input type="text" name="name">
オフ <input type="text" name="website">
「性別」 " フィールドはラジオ ボタンであり、HTML コードは次のとおりです:
type= "radio" name="gender" value="male">男性 htmlspecialchars ($ _ Server ["pHP_Self"];? & gt; "& gt;
このフォームは、method =" post " メソッドを使用してデータを送信します。$_SERVER["PHP_SELF"] 変数とは何ですか?
$_SERVER["PHP_SELF"] は、現在実行中のスクリプトのファイル名を返し、ドキュメント ルートに関連するスーパー グローバル変数です。
そのため、$_SERVER["PHP_SELF"] は、別のページにジャンプするのではなく、現在のページにフォーム データを送信します。htmlspecialchars() 関数は、いくつかの事前定義された文字を HTML エンティティに変換します。
定義済み文字は次のとおりです:
& (アンパサンド) は &
' (一重引用符) は '
< (より小さい) は <
> (より大きい) は > になります
PHP フォームで注意すべき点
ハッカーがクロスサイト スクリプティング HTTP リンクを使用して攻撃する場合、$_SERVER["PHP_SELF"] サーバー変数もスクリプトに埋め込まれます。 その理由は、クロスサイト スクリプティングが実行可能ファイルのパスに追加されるため、文字列 $_SERVER["PHP_SELF"] には HTTP リンクの背後にある JavaScript プログラム コードが含まれることになります。
XSS は CSS (Cross-Site Script) とも呼ばれ、クロスサイト スクリプティング攻撃です。悪意のある攻撃者は、Web ページに悪意のある HTML コードを挿入し、ユーザーがそのページを閲覧すると、Web ページに埋め込まれた HTML コードが実行され、悪意のあるユーザーの特別な目的が達成されます。
次のフォームファイル名を「test_form.php」として指定します:
; やってみるだけでうまくいきます。
& lt; form method = " post" アクション = "test_form.php/" & gt; & lt; スクリプト & gt; アラート ('ハッキング') </script> この Javascript コードは、ページの読み込み時に実行されます (ユーザーにはポップアップ ボックスが表示されます)。 これは、PHP_SELF 変数がハッカーによってどのように悪用されるかを示す簡単な例にすぎません。
<script> タグには任意の JavaScript コードを追加できることに注意してください。ハッカーはこれを使用してページを別のサーバーのページにリダイレクトすることができ、ページ コード ファイルは悪意のあるコードを保護することができ、コードはグローバル変数を変更したり、ユーザーのフォーム データを取得したりすることができます。
$_SERVER["PHP_SELF"] の悪用を回避するにはどうすればよいですか?
$_SERVER["PHP_SELF"] は、htmlspecialchars() 関数を使用することで回避できます。 FORMコードは次のとおりです。ここで、ユーザーが PHP_SELF 変数を利用したい場合、結果は次のように出力されます:
F & lt; Form Method = "Post" action = "test_form.php/" & lt; script & gt; ALERT ('Hacked') & lt;/script & gt; 脆弱性は失敗しました。
PHP を使用してフォーム データを検証する
まず第一に、PHP の htmlspecialchars() 関数を通じてユーザーから送信されたすべてのデータを処理します。
htmlspecialchars() 関数を使用するとき、ユーザーが次のテキスト フィールドを送信しようとしたとき:
以下に示すように、コードは HTML エスケープ コードとして保存されるため、実行されません。
以上コードは安全であり、通常どおりページに表示したり、電子メールに挿入したりできます。
ユーザーがフォームを送信すると、次の 2 つのことを行います:
次に、これらのフィルタリング関数を定義した関数に記述してみましょう。これにより、コードの再利用性が大幅に向上します。
関数にtest_input()という名前を付けます。
これで、test_input() 関数を通じて $_POST 内のすべての変数を検出できます。スクリプト コードは次のとおりです:
Example
<?php
// 定义变量并默认设置为空值
$name = $email = $gender = $comment = $website = "";
if($_SERVER["REQUEST_METHOD"] == "POST")
{
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data)
{
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>上記のスクリプトを実行するときに、$_SERVER["REQUEST_METHOD] を渡すことに注意してください。 "] フォームが送信されたかどうかを確認します。 REQUEST_METHOD が POST の場合、フォームが送信され、データが検証されます。フォームが送信されない場合、検証はスキップされ、空白で表示されます。 上記の例での入力項目の使用はオプションであり、ユーザーがデータを入力しなくても通常どおり表示できます。 次の章では、ユーザーが入力したデータを検証する方法を紹介します。
![フロントエンドプロジェクト-Shangyou [HTML/CSS/JS技術総合演習]](https://img.php.cn/upload/course/000/000/068/63bfcb2974f91471.jpg)
![Apipost 実用化 [API、インターフェース、自動テスト、モック]](https://img.php.cn/upload/course/000/000/068/63b3c967a20f4861.jpg)
