13、表单
1)GET vs. POST
GET 和 POST 都创建数组(例如,array( key => value, key2 => value2, key3 => value3, ...))。此数组包含键/值对,其中的键是表单控件的名称,而值是来自用户的输入数据。
GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。
$_GET 是通过 URL 参数传递到当前脚本的变量数组。
$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。
通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。
通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。
此外 POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。
不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。
提示:开发者偏爱 POST 来发送表单数据。
2)表单验证(不验证不安全,验证了也不能确保安全。。。。)
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
3)htmlspecialchars() 函数把特殊字符转换为 HTML 实体。
string htmlspecialchars ( string $string
[, int $flags
= ENT_COMPAT | ENT_HTML401 [, string $encoding
= ini_get("default_charset") [, bool $double_encode
= true ]]] )
这意味着< 和 > 之内的 HTML 字符会被替换:
& (和) 转成 &
" (双引号) 转成 "(unless ENT_NOQUOTES
is set)
'(单引号) 转成'((for ENT_HTML401
) or ' (for ENT_XML1
, ENT_XHTML
or ENT_HTML5
), 只有当$flags的值为 ENT_QUOTES会被转换
)
(小于) 转成 <
> (大于) 转成 >
此函数只转换上面的特殊字符,并不会全部转换成 HTML 所定的 ASCII 转换。
这样可防止攻击者通过在表单中注入 HTML 或 avaScript 代码(跨站点脚本攻击)对代码进行利用。
eg:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>
关于htmlspecialchars更详细的说明:
http://www.php.net/manual/en/function.htmlspecialchars.php
4)XXS攻击例子(W3school上面截的例子):
关于XXS攻击如何绕过htmlspecialchars
https://www.zhihu.com/question/27646993
5)表单验证实例:
eg1:去除表单提交的数据中不必要的字符
<?php
// 定义变量并设置为空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);//去掉$data中不必要的字符(多余的空格、制表符、换行)
$data = stripslashes($data);//删除用户输入数据中的反斜杠(\)
$data = htmlspecialchars($data);
return $data;
}
?>
eg2:检查 $_POST 变量是否为空(通过 PHP empty() 函数)。如果为空,则错误消息会存储于不同的错误变量中。如果不为空,则通过 test_input() 函数发送用户输入数据:
<?php
// 定义变量并设置为空值
$nameErr = "";
$name = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
if (empty($_POST["name"])) {
$nameErr = "Name is required";
} else {
$name = test_input($_POST["name"]);
}
}
?>
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
Name: <input type="text" name="name">
<!--将错误的输入直接显示在页面-->
<span class="error">* <?php echo $nameErr;?></span>
<br><br>
</form>
eg3:PHP - 验证 Name、E-mail、以及 URL
<?php
// 定义变量并设置为空值
$nameErr = $emailErr= $websiteErr = "";
$name = $email = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {//判断表单提交方式为POST
if (empty($_POST["name"])) {//name值为空,存入nameErr信息
$nameErr = "Name is required";
} else {//name不为空时检查name是否合法
$name = test_input($_POST["name"]);
// 检查名字是否包含字母和空格
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {//跟js一样用正则表达式判断,不符合时给nameErr赋值
$nameErr = "Only letters and white space allowed";
}
}
//判断邮件格式
if (empty($_POST["email"])) {
$emailErr = "Email is required";
} else {
$email = test_input($_POST["email"]);
// 检查电邮地址语法是否有效
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr = "Invalid email format";
}
}
//判断URL格式
if (empty($_POST["website"])) {
$website = "";
} else {
$website = test_input($_POST["website"]);
// 检查 URL 地址语言是否有效(此正则表达式同样允许 URL 中的下划线)
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
=~_|]/i",$website)) {
$websiteErr = "Invalid URL";
}
}
}
?>
到这里PHP基础知识就完了,当然不要以为PHP就这么一点内容。这只是基础语法。感觉学习语言还是要自己动手做做的。