php学习笔记——表单

时间:2022-09-25 17:06:36

13、表单

  1)GET vs. POST

  GET 和 POST 都创建数组(例如,array( key => value, key2 => value2, key3 => value3, ...))。此数组包含键/值对,其中的键是表单控件的名称,而值是来自用户的输入数据。

  GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。

  $_GET 是通过 URL 参数传递到当前脚本的变量数组。

  $_POST 是通过 HTTP POST 传递到当前脚本的变量数组。

  通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。

  通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制

  此外 POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。

  不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。

  提示:开发者偏爱 POST 来发送表单数据。

  2)表单验证(不验证不安全,验证了也不能确保安全。。。。)

  <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

  $_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。

  3)htmlspecialchars() 函数把特殊字符转换为 HTML 实体。

  string htmlspecialchars    ( string $string   [, int $flags = ENT_COMPAT | ENT_HTML401   [, string $encoding = ini_get("default_charset")   [, bool $double_encode = true  ]]] )

  这意味着< 和 > 之内的 HTML 字符会被替换:

    & (和) 转成 &amp;

    " (双引号) 转成 &quot;(unless ENT_NOQUOTES is set)

    '(单引号) 转成&#039;((for ENT_HTML401) or &apos; (for  ENT_XML1, ENT_XHTML or ENT_HTML5), 只有当$flags的值为 ENT_QUOTES会被转换)

    (小于) 转成 &lt;

    > (大于) 转成 &gt;

  此函数只转换上面的特殊字符,并不会全部转换成 HTML 所定的 ASCII 转换。

  这样可防止攻击者通过在表单中注入 HTML 或 avaScript 代码(跨站点脚本攻击)对代码进行利用。

  eg:

  <?php
  $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
  echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
  ?>

  关于htmlspecialchars更详细的说明:

  http://www.php.net/manual/en/function.htmlspecialchars.php

  4)XXS攻击例子(W3school上面截的例子):

  php学习笔记——表单

  关于XXS攻击如何绕过htmlspecialchars

  https://www.zhihu.com/question/27646993

 5)表单验证实例:

  eg1:去除表单提交的数据中不必要的字符

  <?php
  // 定义变量并设置为空值
  $name = $email = $gender = $comment = $website = "";

  if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $name = test_input($_POST["name"]);
    $email = test_input($_POST["email"]);
    $website = test_input($_POST["website"]);
    $comment = test_input($_POST["comment"]);
    $gender = test_input($_POST["gender"]);
  }

  function test_input($data) {
    $data = trim($data);//去掉$data中不必要的字符(多余的空格、制表符、换行)
    $data = stripslashes($data);//删除用户输入数据中的反斜杠(\)
    $data = htmlspecialchars($data);
    return $data;
  }
  ?>
 eg2:检查 $_POST 变量是否为空(通过 PHP empty() 函数)。如果为空,则错误消息会存储于不同的错误变量中。如果不为空,则通过 test_input() 函数发送用户输入数据:

  <?php
  // 定义变量并设置为空值
  $nameErr = "";
  $name = "";

  if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (empty($_POST["name"])) {
     $nameErr = "Name is required";
    } else {
     $name = test_input($_POST["name"]);
    }
  }

  ?>

  <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

  Name: <input type="text" name="name">

  <!--将错误的输入直接显示在页面-->
  <span class="error">* <?php echo $nameErr;?></span>
  <br><br>

  </form>

  eg3:PHP - 验证 Name、E-mail、以及 URL

  <?php
  // 定义变量并设置为空值
  $nameErr = $emailErr= $websiteErr = "";
  $name = $email = $website = "";

  if ($_SERVER["REQUEST_METHOD"] == "POST") {//判断表单提交方式为POST
    if (empty($_POST["name"])) {//name值为空,存入nameErr信息
      $nameErr = "Name is required";
    } else {//name不为空时检查name是否合法
      $name = test_input($_POST["name"]);
      // 检查名字是否包含字母和空格
      if (!preg_match("/^[a-zA-Z ]*$/",$name)) {//跟js一样用正则表达式判断,不符合时给nameErr赋值
        $nameErr = "Only letters and white space allowed";
      }
    }
   //判断邮件格式
    if (empty($_POST["email"])) {
      $emailErr = "Email is required";
    } else {
      $email = test_input($_POST["email"]);
      // 检查电邮地址语法是否有效
      if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
        $emailErr = "Invalid email format";
      }
    }
   //判断URL格式
    if (empty($_POST["website"])) {
      $website = "";
    } else {
      $website = test_input($_POST["website"]);
      // 检查 URL 地址语言是否有效(此正则表达式同样允许 URL 中的下划线)
      if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
      =~_|]/i",$website)) {
        $websiteErr = "Invalid URL";
      }
    }
   }
  ?>

  到这里PHP基础知识就完了,当然不要以为PHP就这么一点内容。这只是基础语法。感觉学习语言还是要自己动手做做的。