首頁 後端開發 php教程 PHP表单及印证

PHP表单及印证

Jun 13, 2016 pm 01:08 PM
echo php post

PHP表单及验证

一、概述

PHP在处理一个页面时,它都会检查URL和表单变量、上传的文件、可用的cookie以及Web服务器和环境变量。之后,这些信息就可以通过下面这些数组直接访问:$_GET、$_POST、$_FILES、$_COOKIE、$_SERVER和$_ENV。也就是说,PHP会分别保存在查询字符串中设置的变量、一个post请求的主题内容、上传的文件、cookie、Web服务器及Web服务器运行其上的环境等这些信息。当然,也有一个$_REQUEST变量,它是包含着前面六个数组中全部值的一个大数组。

variables_order
当在$_REQUEST数组中放置元素时,如果两个数组都有一个同名的键,PHP会根据php.ini中的variables_order配置指令决定如何切断他们之间的联系。在默认情况下,variables_order的值是EGPCS(如果使用的是php.ini-recommended配置文件,则是GPCS)。也就是说,PHP首先会把环境变量添加到$_REQUEST中,然后再依次添加查询字符串(get)、post、cookie、和web服务器变量。在这种情况下,因为默认是C在P的后面,所以一个名为username的cookie会覆盖一个同样名为username的post变量。注意,php.ini-recommended文件中的GPCS值表明$_ENV数组中的环境变量不会被添加到$_REQUEST数组中。

track_vars
在PHP4.1之前,这些自动全局变量是不存在的。当时,它们只是一些常规的数组,名字分别为$HTTP_COOKIE_VARS、$HTTP_ENV_VARS、$HTTP_GET_VARS、$HTTP_POST_VARS、$HTTP_POST_FILES和$HTTP_SERVER_VARS。出于继承的原因,这些数组仍然是有效的,只不过新增加的数组更容易使用。这些老数组只有在track_vars配置指令为on时才会被赋值。(此选项自php4.0.3后总是开启的,不再通过track_vars=设置)

register_globals
如果register_globals配置指令的值是on,那么以上所有的变量同样也将作为全局名称空间中的变量。所以$_GET['password']的值也可以使用$password访问。这样虽然方便,但却也引入了较大的安全问题。自PHP 4.2起,register_globals的默认值为off。

以上是PHP表单提交数据时涉及的相关知识的一些简单介绍。为了保证PHP代码的安全,PHP表单处理程序不能忽略两个很重要的步骤:数据验证和输出转义。保证输入的信息对程序是可以接受的;保证恶意用户不会利用你的网站攻击其他的网站。

二、数据验证


需牢记的几点:
1、所有接收的数据不一定如你前端(html及javascript)约束的那样,可能会是来自电脑黑客通过手工构造的数据请求或恶意用户发现你程序漏洞的请求。
2、不同类型的表单元素留空会导致$_GET和$_POST中的元素值不尽相同。空文本框、空文本区域及空的文件上传字段的值是零长度字符串。而未选中的复选框和单选按钮,不会在$_GET和$_POST中生存任何值。浏览器通常会强迫在单选下拉列表选中一个项目,而对于多选下拉列表,如果没有选择其中的任何项,那么结果和复选框是一样的,即不会在$_GET和$_POST中生存任何值。
3、$_GET和$_POST中的值始终是字符串。例如,某人在text_price文本框中填入02201并提交了表单,那么$_POST['text_price']的值会是五位的字符串“02201”,而不是整数2201。

验证实例
1、验证必填项
使用strlen()来测试$_GET或$_POST中的元素值。出于某种偏好,很多人常用empty()代替strlen()来测试一个文本框中是否填写了值。但根据PHP的布尔值计算规则,字符0可以转换为FALSE,因此这常常会导致问题出现。例如,有人在total_val文本框中填入了0,而empty($_POST['total_val'])测试的结果会是TRUE。显然,从表单验证的角度来看这是错误的。

?

<?php
if (! strlen($_POST['keyname']) {
    echo 'keyname is null';
}
?>
登入後複製

?

2、数字验证
A、判断是否大于或等于零的整数,直接用ctype_digit()函数判断。

<?php
if (! ctype_digit($_POST['keyname']) {
    echo 'Your keyname must be a number bigger than or equal to zero.';
}
?>
登入後複製

在PHP数字验证中一种常见的做法是用is_numeric()函数来验证数字。遗憾的是,is_numeric()所认为的数字更符合计算机的特点而不是人的思维。比如说,十六进制的数字字符串0xCAFE和带指数符号的数字字符串10e40对于is_numeric()来说都是数字。


在PHP5.1之前,如果向ctype_digit()传递一个空字符串,它会返回TRUE;显然这不是我们要的结果,因此首先要验证下它是否为空。

<?php
if (! strlen($_POST['keyname']) && ! ctype_digit($_POST['keyname']) {
    echo 'Your keyname must be a number bigger than or equal to zero.';
}
?>
登入後複製

?

B、判断是否为正整数或负整数,可以采用提交值与值在转换成证书之后返回的字符串进行比较。
1)类型转换法验证整数

<?php
if ($_POST['keyname'] != strval(intval($_POST['keyname']))) {
    echo 'Your keyname must be an integer.';
}
?>
登入後複製

? intval('025')返回25,intval('-2300')返回-2300, intval('2.2')返回2, intval('-8.8')返回-8, intval('sdf')返回0.


2)类型转换法验证小数

<?php
if ($_POST['keyname'] != strval(floatval($_POST['keyname']))) {
    echo 'Your keyname must be an number.';
}
?>
登入後複製

? floatval('3.025')返回3.025,floatval('-23.007')返回-23.007 floatval('sdf')返回0.

3、正则表达式验证

1)字符串中只能包含数字

<?php
$str = "0238";
if (preg_match('/^\d+$/', $str)) {
	echo 'match';
}
?>
登入後複製
?

2)检验PHP变量名是否符合规范

<?php
function pregPHPVar($str) {
    if (preg_match('/\$[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/', $str)) {
        return 'match';
    } else {
	return 'mismatch';
    }
}
echo prefPHPVar('$str'); // print match;
echo prefPHPVar('$1str'); // print mismatch;
?>
登入後複製
?

3)邮箱验证

<?php
$email = "your.name@domain.name.info";
if (! preg_match('/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/', $email)) {
    echo 'Email is invalid.';
}
?>
登入後複製
?

?

?

?

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

適用於 Ubuntu 和 Debian 的 PHP 8.4 安裝和升級指南 適用於 Ubuntu 和 Debian 的 PHP 8.4 安裝和升級指南 Dec 24, 2024 pm 04:42 PM

PHP 8.4 帶來了多項新功能、安全性改進和效能改進,同時棄用和刪除了大量功能。 本指南介紹如何在 Ubuntu、Debian 或其衍生版本上安裝 PHP 8.4 或升級到 PHP 8.4

如何設定 Visual Studio Code (VS Code) 進行 PHP 開發 如何設定 Visual Studio Code (VS Code) 進行 PHP 開發 Dec 20, 2024 am 11:31 AM

Visual Studio Code,也稱為 VS Code,是一個免費的原始碼編輯器 - 或整合開發環境 (IDE) - 可用於所有主要作業系統。 VS Code 擁有大量針對多種程式語言的擴展,可以輕鬆編寫

在PHP API中說明JSON Web令牌(JWT)及其用例。 在PHP API中說明JSON Web令牌(JWT)及其用例。 Apr 05, 2025 am 12:04 AM

JWT是一種基於JSON的開放標準,用於在各方之間安全地傳輸信息,主要用於身份驗證和信息交換。 1.JWT由Header、Payload和Signature三部分組成。 2.JWT的工作原理包括生成JWT、驗證JWT和解析Payload三個步驟。 3.在PHP中使用JWT進行身份驗證時,可以生成和驗證JWT,並在高級用法中包含用戶角色和權限信息。 4.常見錯誤包括簽名驗證失敗、令牌過期和Payload過大,調試技巧包括使用調試工具和日誌記錄。 5.性能優化和最佳實踐包括使用合適的簽名算法、合理設置有效期、

您如何在PHP中解析和處理HTML/XML? 您如何在PHP中解析和處理HTML/XML? Feb 07, 2025 am 11:57 AM

本教程演示瞭如何使用PHP有效地處理XML文檔。 XML(可擴展的標記語言)是一種用於人類可讀性和機器解析的多功能文本標記語言。它通常用於數據存儲

解釋PHP中的晚期靜態綁定(靜態::)。 解釋PHP中的晚期靜態綁定(靜態::)。 Apr 03, 2025 am 12:04 AM

靜態綁定(static::)在PHP中實現晚期靜態綁定(LSB),允許在靜態上下文中引用調用類而非定義類。 1)解析過程在運行時進行,2)在繼承關係中向上查找調用類,3)可能帶來性能開銷。

php程序在字符串中計數元音 php程序在字符串中計數元音 Feb 07, 2025 pm 12:12 PM

字符串是由字符組成的序列,包括字母、數字和符號。本教程將學習如何使用不同的方法在PHP中計算給定字符串中元音的數量。英語中的元音是a、e、i、o、u,它們可以是大寫或小寫。 什麼是元音? 元音是代表特定語音的字母字符。英語中共有五個元音,包括大寫和小寫: a, e, i, o, u 示例 1 輸入:字符串 = "Tutorialspoint" 輸出:6 解釋 字符串 "Tutorialspoint" 中的元音是 u、o、i、a、o、i。總共有 6 個元

什麼是PHP魔術方法(__ -construct,__destruct,__call,__get,__ set等)並提供用例? 什麼是PHP魔術方法(__ -construct,__destruct,__call,__get,__ set等)並提供用例? Apr 03, 2025 am 12:03 AM

PHP的魔法方法有哪些? PHP的魔法方法包括:1.\_\_construct,用於初始化對象;2.\_\_destruct,用於清理資源;3.\_\_call,處理不存在的方法調用;4.\_\_get,實現動態屬性訪問;5.\_\_set,實現動態屬性設置。這些方法在特定情況下自動調用,提升代碼的靈活性和效率。

PHP和Python:比較兩種流行的編程語言 PHP和Python:比較兩種流行的編程語言 Apr 14, 2025 am 12:13 AM

PHP和Python各有優勢,選擇依據項目需求。 1.PHP適合web開發,尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能,語法簡潔,適合初學者。

See all articles