一、概述
PHP在处理一个页面时,它都会检查URL和表单变量、上传的文件、可用的cookie以及Web服务器和环境变量。之后,这些信息就可以通过下面这些数组直接访问:$_GET、$_POST、$_FILES、$_COOKIE、$_SERVER和$_ENV。也就是说,PHP会分别保存在查询字符串中设置的变量、一个post请求的主题内容、上传的文件、cookie、Web服务器及Web服务器运行其上的环境等这些信息。当然,也有一个$_REQUEST变量,它是包含着前面六个数组中全部值的一个大数组。
variables_order
当在$_REQUEST数组中放置元素时,如果两个数组都有一个同名的键,PHP会根据php.ini中的variables_order配置指令决定如何切断他们之间的联系。在默认情况下,variables_order的值是EGPCS(如果使用的是php.ini-recommended配置文件,则是GPCS)。也就是说,PHP首先会把环境变量添加到$_REQUEST中,然后再依次添加查询字符串(get)、post、cookie、和web服务器变量。在这种情况下,因为默认是C在P的后面,所以一个名为username的cookie会覆盖一个同样名为username的post变量。注意,php.ini-recommended文件中的GPCS值表明$_ENV数组中的环境变量不会被添加到$_REQUEST数组中。
track_vars
在PHP4.1之前,这些自动全局变量是不存在的。当时,它们只是一些常规的数组,名字分别为$HTTP_COOKIE_VARS、$HTTP_ENV_VARS、$HTTP_GET_VARS、$HTTP_POST_VARS、$HTTP_POST_FILES和$HTTP_SERVER_VARS。出于继承的原因,这些数组仍然是有效的,只不过新增加的数组更容易使用。这些老数组只有在track_vars配置指令为on时才会被赋值。(此选项自php4.0.3后总是开启的,不再通过track_vars=设置)
register_globals
如果register_globals配置指令的值是on,那么以上所有的变量同样也将作为全局名称空间中的变量。所以$_GET['password']的值也可以使用$password访问。这样虽然方便,但却也引入了较大的安全问题。自PHP 4.2起,register_globals的默认值为off。
以上是PHP表单提交数据时涉及的相关知识的一些简单介绍。为了保证PHP代码的安全,PHP表单处理程序不能忽略两个很重要的步骤:数据验证和输出转义。保证输入的信息对程序是可以接受的;保证恶意用户不会利用你的网站攻击其他的网站。
二、数据验证
需牢记的几点:
1、所有接收的数据不一定如你前端(html及javascript)约束的那样,可能会是来自电脑黑客通过手工构造的数据请求或恶意用户发现你程序漏洞的请求。
2、不同类型的表单元素留空会导致$_GET和$_POST中的元素值不尽相同。空文本框、空文本区域及空的文件上传字段的值是零长度字符串。而未选中的复选框和单选按钮,不会在$_GET和$_POST中生存任何值。浏览器通常会强迫在单选下拉列表选中一个项目,而对于多选下拉列表,如果没有选择其中的任何项,那么结果和复选框是一样的,即不会在$_GET和$_POST中生存任何值。
3、$_GET和$_POST中的值始终是字符串。例如,某人在text_price文本框中填入02201并提交了表单,那么$_POST['text_price']的值会是五位的字符串“02201”,而不是整数2201。
验证实例
1、验证必填项
使用strlen()来测试$_GET或$_POST中的元素值。出于某种偏好,很多人常用empty()代替strlen()来测试一个文本框中是否填写了值。但根据PHP的布尔值计算规则,字符0可以转换为FALSE,因此这常常会导致问题出现。例如,有人在total_val文本框中填入了0,而empty($_POST['total_val'])测试的结果会是TRUE。显然,从表单验证的角度来看这是错误的。
?
?
2、数字验证
A、判断是否大于或等于零的整数,直接用ctype_digit()函数判断。
在PHP数字验证中一种常见的做法是用is_numeric()函数来验证数字。遗憾的是,is_numeric()所认为的数字更符合计算机的特点而不是人的思维。比如说,十六进制的数字字符串0xCAFE和带指数符号的数字字符串10e40对于is_numeric()来说都是数字。
在PHP5.1之前,如果向ctype_digit()传递一个空字符串,它会返回TRUE;显然这不是我们要的结果,因此首先要验证下它是否为空。
?
B、判断是否为正整数或负整数,可以采用提交值与值在转换成证书之后返回的字符串进行比较。
1)类型转换法验证整数
? intval('025')返回25,intval('-2300')返回-2300, intval('2.2')返回2, intval('-8.8')返回-8, intval('sdf')返回0.
2)类型转换法验证小数
?
floatval('3.025')返回3.025,floatval('-23.007')返回-23.007 floatval('sdf')返回0.
3、正则表达式验证
1)字符串中只能包含数字
?2)检验PHP变量名是否符合规范
?3)邮箱验证
??
?
?
php入门到就业线上直播课:查看学习
前端(VUE)零基础到就业课程:点击学习
自己动手写 PHP MVC 框架:点击学习
![](http://m.sbmmt.com/img/upload/article/000/000/020/633501a29d313483.png)
相关文章推荐
• ❤️🔥共22门课程,总价3725元,会员免费学• ❤️🔥接口自动化测试不想写代码?• 继续收藏一些PHP常用函数第1/2页_PHP教程• 基于PHP与XML的PDF文档生成技术_PHP教程• 验证码的使用• 日常整理PHP中简单的图形处理(经典)_PHP• PHP之密码加密的几种方式_PHP独孤九贱(3)_JavaScript视频教程
javascript是运行在浏览器上的脚本语言,连续多年,被评为全球最受欢迎的编程语言。是前端开发必备三大法器中,最具杀伤力。如果前端开发是降龙十八掌,好么javascript就是第18掌:亢龙有悔。没有它,你的前端生涯是不完整的。《php.cn独孤九贱(3)-JavaScript视频教程》课程特色:php中文网原创幽默段子系列课程,以恶搞,段子为主题风格的php视频教程!轻松的教学风格,简短的教学模式,让同学们在不知不觉中,学会了javascript知识。
JavaScript教程139488次播放
独孤九贱(6)_jQuery视频教程
jQuery是一个快速、简洁的JavaScript框架。设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 核心特性可以总结为:具有独特的链式语法和短小清晰的多功能接口;具有高效灵活的css选择器,并且可对CSS选择器进行扩展;拥有便捷的插件扩展机制和丰富的插件。兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等,是全球最流行的前端开发框架之一。PHP中文网根据最新版本,独家录制jQuery最新视频教程,回馈PHP中文网的新老用户。
jQuery教程114598次播放
jQuery与Ajax基础与实战
jQuery是最流行的JS函数库,封装了许多实用的功能,其中最引人入胜的就是Ajax。 jQuery中的Ajax操作,语法简单,操作方便,使Ajax从未如此轻松,前端人员从此不再为与服务器异步交互而发愁,本套课程,精选了最常用的几个方法,从基本的语法到每个参数,再到具体实例进行了全面的讲解。
AJAX教程14290次播放
Git教程(60分钟全程无废话版)
Git 是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。 Git 是 Linus Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。 Git 与常用的版本控制工具 CVS, Subversion 等不同,它采用了分布式版本库的方式,不必服务器端软件支持
JavaScript教程12315次播放