表单验证是为了防止访问者跳过客户端验证(js验证,可以屏蔽)而造成的系统安全问题,一但非法用户绕过客户端验证而服务器端没有加以验证,这样就是很不安全了,所以项目必须要进行服务器端表单验证。
ThinkPHP5.1推荐使用验证器进行数据验证(也支持使用\think\Validate类进行独立验证)
独立验证
例:
验证post表单标题和简介非空,并且标题最多不能大于4个字符
视图(引入了bootstrap3)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>文章添加</title>
<link rel="stylesheet" href="/static/index/css/bootstrap.css"/>
<link rel="stylesheet" href="/static/index/css/bootstrap-theme.css"/>
</head>
<body>
<br/>
<div class="container">
<div class="panel panel-default">
<div class="panel-heading">
<h3 class="panel-title">文章添加</h3>
</div>
<div class="panel-body">
<form class="form-horizontal" method="post" action="{:url(‘article/add‘)}">
<div class="form-group">
<label class="col-sm-2 control-label">标题</label>
<div class="col-sm-10">
<!--提交参数-->
<input type="text" class="form-control" name="title">
</div>
</div>
<div class="form-group">
<label class="col-sm-2 control-label">简介</label>
<div class="col-sm-10">
<!--提交参数-->
<input type="text" class="form-control" name="desn">
</div>
</div>
<div class="form-group">
<div class="col-sm-offset-2 col-sm-10">
<button type="submit" class="btn btn-success">添加文章</button>
</div>
</div>
</form>
</div>
</div>
</div>
<script src="/static/index/js/bootstrap.js "></script>
<script src="/static/js/jquery.min.js "></script>
</body>
</html>
控制器
<?php
namespace app\index\controller;
use app\common\model\Articles;
use think\Controller;
use think\Request;
use think\Validate;
class Article extends Controller
{
//添加文章 显示
public function add(){
return view(‘index@article/add‘);
}
//添加文章处理
public function addSave(Request $request){
dump($request->post());
//验证
$validate = Validate::make([
‘title‘ => ‘require|max:4‘,
‘desn‘ => ‘require‘
]);
//判断
if(!$validate->check($request->post())){
//如果有错误返回错误信息
dump($validate->getError());
}
}
}
路由
//文章添加界面显示
Route::get(‘article/add‘, ‘@index/article/add‘)->name(‘article/add‘);
//添加处理
Route::post(‘article/add‘, ‘@index/article/addSave‘)->name(‘article/add‘);
运行结果
自定义验证信息
控制器
<?php
namespace app\index\controller;
use app\common\model\Articles;
use think\Controller;
use think\Request;
use think\Validate;
class Article extends Controller
{
//添加文章 显示
public function add(){
return view(‘index@article/add‘);
}
//添加文章处理
public function addSave(Request $request){
dump($request->post());
//验证,自定义验证信息
$validate = Validate::make([
‘title‘ => ‘require|max:4‘,
‘desn‘ => ‘require‘
],[
‘title.require‘ => ‘标题不能为空‘,
‘title.max‘ => ‘标题最多4个字符‘,
‘desn.require‘ => ‘简介不能为空‘
]);
//判断
if(!$validate->check($request->post())){
//如果有错误返回错误信息
dump($validate->getError());
}
}
}
运行结果
自定义验证规则
例
标题不包含某个名字 (如李四)
<?php
namespace app\index\controller;
use app\common\model\Articles;
use think\Controller;
use think\Request;
use think\facade\Validate;
class Article extends Controller
{
//添加文章 显示
public function add(){
return view(‘index@article/add‘);
}
//添加文章处理
public function addSave(Request $request){
dump($request->post());
//自定义验证规则
//引入use think\facade\Validate;
//$value表示传入的值,$rule表示规则的值
Validate::extend(‘checkTitle‘,function ($value,$rule){
#print_r(func_get_args());
return strstr($value, $rule)? ‘验证失败‘ : true;
});
//验证
$validate = Validate::make([
‘title‘ => ‘require|max:4|checkTitle:李四‘,
‘desn‘ => ‘require‘
],[
‘title.require‘ => ‘标题不能为空‘,
‘title.max‘ => ‘标题最多4个字符‘,
‘desn.require‘ => ‘简介不能为空‘
]);
//判断
if(!$validate->check($request->post())){
//如果有错误返回错误信息
dump($validate->getError());
}
}
}
运行结果
验证器
thinkphp5.1之后推荐使用的方式,验证器,就是一个独立的文件,此文件就干一件事件,验证。
创建验证器命令
# 创建验证器
php think make:validate 模块名/验证器名(首字母大写)
例:
验证器类验证规则和错误信息的定义
例:
验证器类定义标题不能为空
在application\index\validate\AcrtcleValidate.php定义验证规则
<?php
namespace app\index\validate;
use think\Validate;
class AcrtcleValidate extends Validate
{
/**
* 定义验证规则
* 格式:‘字段名‘ => [‘规则1‘,‘规则2‘...]
*
* @var array
*/
protected $rule = [
‘title‘ => ‘require‘
];
/**
* 定义错误信息
* 格式:‘字段名.规则名‘ => ‘错误信息‘
*
* @var array
*/
protected $message = [
‘title.require‘ => ‘标题不能为空,为空就报错‘
];
}
验证器类的调用方法
方式一:创建验证器对象
//第一种使用方法 注意要引入AcrtcleValidate
/*$validate = new AcrtcleValidate();
//判断
if(!$validate->check($request->post())){
//如果有错误返回错误信息
dump($validate->getError());
}*/
方式二:使用控制器中的validate方法
//第2种方式 控制器中有validate方法
//$res = $this->validate($request->post(), ‘app\index\validate\AcrtcleValidate‘);
//从php5.4以后app\index\validate\AcrtcleValidate 等价于 AcrtcleValidate::class
$res = $this->validate($request->post(), AcrtcleValidate::class);
//类似0 !== false;为真
//实际!== 就是相对于=== 取反,所以类型和值,只要有一个不等或都不等!== 就为true
//判断
if(true !== $res){
return $this->error($res);
}
dump($res);
抛出异常验证
写接口一般用此方法
默认情况下验证失败后不会抛出异常,如果希望验证失败自动抛出异常
在控制器类中添加设置
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
// 验证失败是否抛出异常
protected $failException = true;
public function index()
{
$result = $this->validate(
[
‘name‘ => ‘thinkphp‘,
‘email‘ => ‘thinkphp@qq.com‘,
],
‘app\index\validate\User‘);
}
}
设置开启了验证失败后抛出异常的话,无需手动获取错误信息,会自动抛出think\exception\ValidateException异常或者自己捕获处理
例:
自定义验证规则方法
系统内置了一些常用的规则(参考后面的内置规则),如果不能满足需求,可以在验证器重添加额外的验证方法,例如:
namespace app\index\validate;
use think\Validate;
class User extends Validate
{
protected $rule = [
‘name‘ => ‘checkName:thinkphp‘,
‘email‘ => ‘email‘,
];
protected $message = [
‘name‘ => ‘用户名必须‘,
‘email‘ => ‘邮箱格式错误‘,
];
// 自定义验证规则
protected function checkName($value,$rule,$data=[])
{
return $rule == $value ? true : ‘名称错误‘;
}
}
验证方法可以传入的参数共有5个(后面三个根据情况选用),依次为:
- 验证数据
- 验证规则
- 全部数据(数组)
- 字段名
- 字段描述
自定义的验证规则方法名不能和已有的规则冲突。
例:
验证标题不包含‘aaa’
<?php
namespace app\index\validate;
use think\Validate;
class AcrtcleValidate extends Validate
{
/**
* 定义验证规则
* 格式:‘字段名‘ => [‘规则1‘,‘规则2‘...]
*
* @var array
*/
protected $rule = [
‘title‘ => ‘require|checkName:aaa‘
];
/**
* 定义错误信息
* 格式:‘字段名.规则名‘ => ‘错误信息‘
*
* @var array
*/
protected $message = [
‘title.require‘ => ‘标题不能为空,为空就报错‘
];
//自定义验证
protected function checkName($value,$rule){
return strstr($value,$rule)?‘不符合规则‘: true;
}
}
csrf验证(表单令牌)
什么是csrf?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF
简单的说就是别人恶意的模拟了一个跟你客户端一模一样的请求去访问服务器后台
如何防止?
在服务器端生成token,再放在表单的隐藏域中,表单提交的时候把token一起提交过来
官方例子
设置
验证规则支持对表单的令牌验证,首先需要在你的表单里面增加下面隐藏域:
<input type="hidden" name="__token__" value="{$Request.token}" />
或者
{:token()}
然后在你的验证规则中,添加token验证规则即可,例如,如果使用的是验证器的话,可以改为:
protected $rule = [
‘name‘ => ‘require|max:25|token‘,
‘email‘ => ‘email‘,
];
如果你的令牌名称不是__token__,则表单需要改为:
<input type="hidden" name="__hash__" value="{$Request.token.__hash__}" />
或者:
{:token(‘__hash__‘)}
验证器中需要改为:
protected $rule = [
‘name‘ => ‘require|max:25|token:__hash__‘,
‘email‘ => ‘email‘,
];
自定义令牌生成规则
如果需要自定义令牌生成规则,可以调用Request类的token方法,例如:
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
public function index()
{
$token = $this->request->token(‘__token__‘, ‘sha1‘);
$this->assign(‘token‘, $token);
return $this->fetch();
}
}
然后在模板表单中使用:
<input type="hidden" name="__token__" value="{$token}" />
或者不需要在控制器写任何代码,直接在模板中使用:
{:token(‘__token__‘, ‘sha1‘)}
加入tonken的Demo
在验证器中加入验证token
protected $rule = [
‘title‘ => ‘require|checkName:aaa|token‘
];
访问
说明csrf验证设置成功,那么怎么让我们正常的表单能能通呢?
只需要在视图的模板中的表单中加入{:token()}即可
再次访问就会多了这个token数据
内置规则
系统内置了一些常用的验证规则,可以完成大部分场景的验证需求,包括:
验证规则严格区分大小写
格式验证类
格式验证类在使用静态方法调用的时候支持两种方式调用(以number验证为例,可以使用number() 或者 isNumber())。
require
验证某个字段必须,例如:
‘name‘=>‘require‘
如果验证规则没有添加
require就表示没有值的话不进行验证
由于
require属于PHP保留字,所以在使用方法验证的时候必须使用isRequire或者must方法调用。
number
验证某个字段的值是否为纯数字(采用ctype_digit验证,不包含负数和小数点),例如:
‘num‘=>‘number‘
integer
验证某个字段的值是否为整数(采用filter_var验证),例如:
‘num‘=>‘integer‘
float
验证某个字段的值是否为浮点数字(采用filter_var验证),例如:
‘num‘=>‘float‘
boolean 或者 bool
验证某个字段的值是否为布尔值(采用filter_var验证),例如:
‘num‘=>‘boolean‘
验证某个字段的值是否为email地址(采用filter_var验证),例如:
‘email‘=>‘email‘
array
验证某个字段的值是否为数组,例如:
‘info‘=>‘array‘
accepted
验证某个字段是否为为 yes, on, 或是 1。这在确认"服务条款"是否同意时很有用,例如:
‘accept‘=>‘accepted‘
date
验证值是否为有效的日期,例如:
‘date‘=>‘date‘
会对日期值进行strtotime后进行判断。
alpha
验证某个字段的值是否为纯字母,例如:
‘name‘=>‘alpha‘
alphaNum
验证某个字段的值是否为字母和数字,例如:
‘name‘=>‘alphaNum‘
alphaDash
验证某个字段的值是否为字母和数字,下划线_及破折号-,例如:
‘name‘=>‘alphaDash‘
chs
验证某个字段的值只能是汉字,例如:
‘name‘=>‘chs‘
chsAlpha
验证某个字段的值只能是汉字、字母,例如:
‘name‘=>‘chsAlpha‘
chsAlphaNum
验证某个字段的值只能是汉字、字母和数字,例如:
‘name‘=>‘chsAlphaNum‘
chsDash
验证某个字段的值只能是汉字、字母、数字和下划线_及破折号-,例如:
‘name‘=>‘chsDash‘
cntrl(
V5.1.17+)
验证某个字段的值只能是控制字符(换行、缩进、空格),例如:
‘name‘=>‘cntrl‘
graph (
V5.1.17+)
验证某个字段的值只能是可打印字符(空格除外),例如:
‘name‘=>‘graph‘
print (
V5.1.17+)
验证某个字段的值只能是可打印字符(包括空格),例如:
‘name‘=>‘print‘
lower (
V5.1.17+)
验证某个字段的值只能是小写字符,例如:
‘name‘=>‘lower‘
upper (
V5.1.17+)
验证某个字段的值只能是大写字符,例如:
‘name‘=>‘upper‘
space (
V5.1.17+)
验证某个字段的值只能是空白字符(包括缩进,垂直制表符,换行符,回车和换页字符),例如:
‘name‘=>‘space‘
xdigit (
V5.1.17+)
验证某个字段的值只能是十六进制字符串,例如:
‘name‘=>‘xdigit‘
activeUrl
验证某个字段的值是否为有效的域名或者IP,例如:
‘host‘=>‘activeUrl‘
url
验证某个字段的值是否为有效的URL地址(采用filter_var验证),例如:
‘url‘=>‘url‘
ip
验证某个字段的值是否为有效的IP地址(采用filter_var验证),例如:
‘ip‘=>‘ip‘
支持验证ipv4和ipv6格式的IP地址。
dateFormat:format
验证某个字段的值是否为指定格式的日期,例如:
‘create_time‘=>‘dateFormat:y-m-d‘
mobile
验证某个字段的值是否为有效的手机,例如:
‘mobile‘=>‘mobile‘
idCard
验证某个字段的值是否为有效的身份证格式,例如:
‘id_card‘=>‘idCard‘
macAddr
验证某个字段的值是否为有效的MAC地址,例如:
‘mac‘=>‘macAddr‘
zip
验证某个字段的值是否为有效的邮政编码,例如:
‘zip‘=>‘zip‘
长度和区间验证类
in
验证某个字段的值是否在某个范围,例如:
‘num‘=>‘in:1,2,3‘
notIn
验证某个字段的值不在某个范围,例如:
‘num‘=>‘notIn:1,2,3‘
between
验证某个字段的值是否在某个区间,例如:
‘num‘=>‘between:1,10‘
notBetween
验证某个字段的值不在某个范围,例如:
‘num‘=>‘notBetween:1,10‘
length:num1,num2
验证某个字段的值的长度是否在某个范围,例如:
‘name‘=>‘length:4,25‘
或者指定长度
‘name‘=>‘length:4‘
如果验证的数据是数组,则判断数组的长度。
如果验证的数据是File对象,则判断文件的大小。
max:number
验证某个字段的值的最大长度,例如:
‘name‘=>‘max:25‘
如果验证的数据是数组,则判断数组的长度。
如果验证的数据是File对象,则判断文件的大小。
min:number
验证某个字段的值的最小长度,例如:
‘name‘=>‘min:5‘
如果验证的数据是数组,则判断数组的长度。
如果验证的数据是File对象,则判断文件的大小。
after:日期
验证某个字段的值是否在某个日期之后,例如:
‘begin_time‘ => ‘after:2016-3-18‘,
before:日期
验证某个字段的值是否在某个日期之前,例如:
‘end_time‘ => ‘before:2016-10-01‘,
expire:开始时间,结束时间
验证当前操作(注意不是某个值)是否在某个有效日期之内,例如:
‘expire_time‘ => ‘expire:2016-2-1,2016-10-01‘,
allowIp:allow1,allow2,...
验证当前请求的IP是否在某个范围,例如:
‘name‘ => ‘allowIp:114.45.4.55‘,
该规则可以用于某个后台的访问权限,多个IP用逗号分隔
denyIp:allow1,allow2,...
验证当前请求的IP是否禁止访问,例如:
‘name‘ => ‘denyIp:114.45.4.55‘,
多个IP用逗号分隔
字段比较类
confirm
验证某个字段是否和另外一个字段的值一致,例如:
‘repassword‘=>‘require|confirm:password‘
支持字段自动匹配验证规则,如password和password_confirm是自动相互验证的,只需要使用
‘password‘=>‘require|confirm‘
会自动验证和password_confirm进行字段比较是否一致,反之亦然。
different
验证某个字段是否和另外一个字段的值不一致,例如:
‘name‘=>‘require|different:account‘
eq 或者 = 或者 same
验证是否等于某个值,例如:
‘score‘=>‘eq:100‘
‘num‘=>‘=:100‘
‘num‘=>‘same:100‘
egt 或者 >=
验证是否大于等于某个值,例如:
‘score‘=>‘egt:60‘
‘num‘=>‘>=:100‘
gt 或者 >
验证是否大于某个值,例如:
‘score‘=>‘gt:60‘
‘num‘=>‘>:100‘
elt 或者 <=
验证是否小于等于某个值,例如:
‘score‘=>‘elt:100‘
‘num‘=>‘<=:100‘
lt 或者 <
验证是否小于某个值,例如:
‘score‘=>‘lt:100‘
‘num‘=>‘<:100‘
字段比较
验证对比其他字段大小(数值大小对比),例如:
‘price‘=>‘lt:market_price‘
‘price‘=>‘<:market_price‘
filter验证
支持使用filter_var进行验证,例如:
‘ip‘=>‘filter:validate_ip‘
正则验证
支持直接使用正则验证,例如:
‘zip‘=>‘\d{6}‘,
// 或者
‘zip‘=>‘regex:\d{6}‘,
如果你的正则表达式中包含有|符号的话,必须使用数组方式定义。
‘accepted‘=>[‘regex‘=>‘/^(yes|on|1)$/i‘],
也可以实现预定义正则表达式后直接调用,例如在验证器类中定义regex属性
namespace app\index\validate;
use think\Validate;
class User extends Validate
{
protected $regex = [ ‘zip‘ => ‘\d{6}‘];
protected $rule = [
‘name‘ => ‘require|max:25‘,
‘email‘ => ‘email‘,
];
}
然后就可以使用
‘zip‘ => ‘regex:zip‘,
上传验证
file
验证是否是一个上传文件
image:width,height,type
验证是否是一个图像文件,width height和type都是可选,width和height必须同时定义。
fileExt:允许的文件后缀
验证上传文件后缀
fileMime:允许的文件类型
验证上传文件类型
fileSize:允许的文件字节大小
验证上传文件大小
行为验证
使用行为验证数据,例如:
‘data‘=>‘behavior:\app\index\behavior\Check‘
其它验证
unique:table,field,except,pk
验证当前请求的字段值是否为唯一的,例如:
// 表示验证name字段的值是否在user表(不包含前缀)中唯一
‘name‘ => ‘unique:user‘,
// 验证其他字段
‘name‘ => ‘unique:user,account‘,
// 排除某个主键值
‘name‘ => ‘unique:user,account,10‘,
// 指定某个主键值排除
‘name‘ => ‘unique:user,account,10,user_id‘,
如果需要对复杂的条件验证唯一,可以使用下面的方式:
// 多个字段验证唯一验证条件
‘name‘ => ‘unique:user,status^account‘,
// 复杂验证条件
‘name‘ => ‘unique:user,status=1&account=‘.$data[‘account‘],
requireIf:field,value
验证某个字段的值等于某个值的时候必须,例如:
// 当account的值等于1的时候 password必须
‘password‘=>‘requireIf:account,1‘
requireWith:field
验证某个字段有值的时候必须,例如:
// 当account有值的时候password字段必须
‘password‘=>‘requireWith:account‘
requireCallback:callable
验证当某个callable为真的时候字段必须,例如:
// 使用check_require方法检查是否需要验证age字段必须
‘age‘=>‘requireCallback:check_require|number‘
用于检查是否需要验证的方法支持两个参数,第一个参数是当前字段的值,第二个参数则是所有的数据。
function check_require($value, $data){
if(empty($data[‘birthday‘])){
return true;
}
}
只有check_require函数返回true的时候age字段是必须的,并且会进行后续的其它验证。