PHP 表单验证
提示:在处理 PHP 表单时请重视安全性!
这些页面将展示如何安全地处理 PHP 表单。对 HTML 表单数据进行适当的验证对于防范黑客和垃圾邮件很重要!
我们稍后使用的 HTML 表单包含多种输入字段:必需和可选的文本字段、单选按钮以及提交按钮:
上面的表单使用如下验证规则:
| 字段 | 验证规则 |
|---|---|
| Name | 必需。必须包含字母和空格。 |
| 必需。必须包含有效的电子邮件地址(包含 @ 和 .)。 | |
| Website | 可选。如果选填,则必须包含有效的 URL。 |
| Comment | 可选。多行输入字段(文本框)。 |
| Gender | 必需。必须选择一项。 |
首先我们看一下这个表单的纯 HTML 代码:
文本字段
name、email 和 website 属于文本输入元素,comment 字段是文本框。HTML 代码是这样的:
Name: <input type="text" name="name">E-mail: <input type="text" name="email">Website: <input type="text" name="website">Comment: <textarea name="comment" rows="5" cols="40"></textarea>
单选按钮
gender 字段是单选按钮,HTML 代码是这样的:
Gender:<input type="radio" name="gender" value="female">Female<input type="radio" name="gender" value="male">Male
表单元素
表单的 HTML 代码是这样的:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
当提交此表单时,通过 method="post" 发送表单数据。
什么是 $_SERVER["PHP_SELF"] 变量?
$_SERVER["PHP_SELF"] 是一种超全局变量,它返回当前执行脚本的文件名。
因此,$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
什么是 htmlspecialchars() 函数?
htmlspecialchars() 函数把特殊字符转换为 HTML 实体。这意味着 < 和 > 之类的 HTML 字符会被替换为 < 和 > 。这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站点脚本攻击)对代码进行利用。
关于 PHP 表单安全性的重要提示
$_SERVER["PHP_SELF"] 变量能够被黑客利用!
如果您的页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。
新闻热点
疑难解答
