1、$_GET 和 $_POST 用於收集表單數據(form-data)
用HTTP POST方法發送提交數據。
<html> <body> <form action="welcome.php" method="post"> Name: <input type="text" name="name"><br> E-mail: <input type="text" name="email"><br> <input type="submit"> </form> </body> </html>
當用戶填寫此表單並點擊提交按鈕后,表單數據會發送到名為 "welcome.php" 的 PHP 文件供處理。如需顯示出被提交的數據,您可以簡單地輸出(echo)所有變量。"welcome.php" 文件是這樣的:
<html> <body> Welcome <?php echo $_POST["name"]; ?><br> Your email address is: <?php echo $_POST["email"]; ?> </body> </html>
輸出:
Welcome John
Your email address is john.doe@example.com
用 HTTP GET 方法發送提交數據(結果相同)。
<html> <body> <form action="welcome_get.php" method="get"> Name: <input type="text" name="name"><br> E-mail: <input type="text" name="email"><br> <input type="submit"> </form> </body> </html>
"welcome_get.php" 是這樣的:
<html> <body> Welcome <?php echo $_GET["name"]; ?><br> Your email address is: <?php echo $_GET["email"]; ?> </body> </html>
注意:為了保障腳本安全,防止腳本出現漏洞。您需要對表單提交的數據進行危險字符過濾轉換(驗證)處理。
GET 和 POST提交數據的聯系與區別
1.GET vs. POST 提交數據原理 GET 和 POST 都創建數組(例如,array( key => value, key2 => value2, key3 => value3, ...))。此數組包含鍵/值對,其中的鍵是表單控件的名稱,而值是來自用戶的輸入數據。 GET 和 POST 被視作 $_GET 和 $_POST。它們是超全局變量,這意味着對它們的訪問無需考慮作用域 - 無需任何特殊代碼,您能夠從任何函數、類或文件訪問它們。 $_GET 是通過 URL 參數傳遞到當前腳本的變量數組。 $_POST 是通過 HTTP POST 傳遞到當前腳本的變量數組。 2.何時使用 GET? 通過 GET 方法從表單發送的信息對任何人都是可見的(所有變量名和值都顯示在 URL 中)。GET 對所發送信息的數量也有限制。限制在大於 2000 個字符。不過,由於變量顯示在 URL 中,把頁面添加到書簽中也更為方便。 GET 可用於發送非敏感的數據。 注釋:絕不能使用 GET 來發送密碼或其他敏感信息! 3.何時使用 POST? 通過 POST 方法從表單發送的信息對其他人是不可見的(所有名稱/值會被嵌入 HTTP 請求的主體中),並且對所發送信息的數量也無限制。 此外 POST 支持高階功能,比如在向服務器上傳文件時進行 multi-part 二進制輸入。 不過,由於變量未顯示在 URL 中,也就無法將頁面添加到書簽。 提示:開發者偏愛 POST 來發送表單數據。
2.表單危險字符過濾處理
上面的表單使用如下驗證規則:
| 字段 | 驗證規則 |
|---|---|
| Name | 必需。必須包含字母和空格。 |
| 必需。必須包含有效的電子郵件地址(包含 @ 和 .)。 | |
| Website | 可選。如果選填,則必須包含有效的 URL。 |
| Comment | 可選。多行輸入字段(文本框)。 |
| Gender | 必需。必須選擇一項。 |
表單的 HTML 代碼是這樣的,當提交此表單時,通過 method="post" 發送表單數據。
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
什么是 $_SERVER["PHP_SELF"] 變量?
$_SERVER["PHP_SELF"] 是一種超全局變量,它返回當前執行腳本的文件名。
因此,$_SERVER["PHP_SELF"] 將表單數據發送到頁面本身,而不是跳轉到另一張頁面。這樣,用戶就能夠在表單頁面獲得錯誤提示信息。
通過使用 htmlspecialchars() 函數能夠避免 $_SERVER["PHP_SELF"] 被利用。
什么是 htmlspecialchars() 函數?
htmlspecialchars() 函數把特殊字符轉換為 HTML 實體。這意味着 < 和 > 之類的 HTML 字符會被替換為 < 和 > 。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 代碼(跨站點腳本攻擊)對代碼進行利用。
完整的 PHP 驗證表單數據代碼
我們要做的第一件事是通過 PHP 的 htmlspecialchars() 函數傳遞所有變量。
在我們使用 htmlspecialchars() 函數后,如果用戶試圖在文本字段中提交以下內容:
<script>location.href('http://www.hacked.com')</script>
- 代碼不會執行,因為會被保存為轉義代碼,就像這樣:
<script>location.href('http://www.hacked.com')</script>
現在這條代碼顯示在頁面上或 e-mail 中是安全的。
在用戶提交該表單時,我們還要做兩件事:
- (通過 PHP trim() 函數)去除用戶輸入數據中不必要的字符(多余的空格、制表符、換行)
- (通過 PHP stripslashes() 函數)刪除用戶輸入數據中的反斜杠(\)
接下來我們創建一個檢查函數(相比一遍遍地寫代碼,這樣效率更好)。我們把函數命名為 test_input()。
現在,我們能夠通過 test_input() 函數檢查每個 $_POST 變量,腳本是這樣的:
<?php // 定義變量並設置為空值 $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { $name = test_input($_POST["name"]); $email = test_input($_POST["email"]); $website = test_input($_POST["website"]); $comment = test_input($_POST["comment"]); $gender = test_input($_POST["gender"]); } function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } ?>
請注意在腳本開頭,我們檢查表單是否使用 $_SERVER["REQUEST_METHOD"] 進行提交。如果 REQUEST_METHOD 是 POST,那么表單已被提交 - 並且應該對其進行驗證。如果未提交,則跳過驗證並顯示一個空白表單。
3. 可選、必選輸入字段的驗證和錯誤信息的顯示
在下面的代碼中我們增加了一些新變量:$nameErr、$emailErr、$genderErr 以及 $websiteErr。這些錯誤變量會保存被請求字段的錯誤消息。我們還為每個 $_POST 變量添加了一個 if else 語句。這條語句檢查 $_POST 變量是否為空(通過 PHP empty() 函數)。如果為空,則錯誤消息會存儲於不同的錯誤變量中。如果不為空,則通過 test_input() 函數發送用戶輸入數據:
<?php // 定義變量並設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { if (empty($_POST["name"])) { $nameErr = "Name is required"; } else { $name = test_input($_POST["name"]); } if (empty($_POST["email"])) { $emailErr = "Email is required"; } else { $email = test_input($_POST["email"]); } if (empty($_POST["website"])) { $website = ""; } else { $website = test_input($_POST["website"]); } if (empty($_POST["comment"])) { $comment = ""; } else { $comment = test_input($_POST["comment"]); } if (empty($_POST["gender"])) { $genderErr = "Gender is required"; } else { $gender = test_input($_POST["gender"]); } } ?>
顯示錯誤消息
在 HTML 表單中,我們在每個被請求字段后面增加了一點腳本。如果用戶未填寫必填字段就試圖提交表單,會生成恰當的錯誤消息。
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> Name: <input type="text" name="name"> <span class="error">* <?php echo $nameErr;?></span> <br><br> E-mail: <input type="text" name="email"> <span class="error">* <?php echo $emailErr;?></span> <br><br> Website: <input type="text" name="website"> <span class="error"><?php echo $websiteErr;?></span> <br><br> <label>Comment: <textarea name="comment" rows="5" cols="40"></textarea> <br><br> Gender: <input type="radio" name="gender" value="female">Female <input type="radio" name="gender" value="male">Male <span class="error">* <?php echo $genderErr;?></span> <br><br> <input type="submit" name="submit" value="Submit"> </form>
4.驗證 E-mail 和 URL格式
使用正則表達式和preg_match() 函數檢索字符串的模式,如果模式存在則返回 true,否則返回 false
<?php // 定義變量並設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") { if (empty($_POST["name"])) { $nameErr = "Name is required"; } else { $name = test_input($_POST["name"]); // 檢查名字是否包含字母和空格 if (!preg_match("/^[a-zA-Z ]*$/",$name)) { $nameErr = "Only letters and white space allowed"; } } if (empty($_POST["email"])) { $emailErr = "Email is required"; } else { $email = test_input($_POST["email"]); // 檢查電郵地址語法是否有效 if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) { $emailErr = "Invalid email format"; } } if (empty($_POST["website"])) { $website = ""; } else { $website = test_input($_POST["website"]); // 檢查 URL 地址語言是否有效(此正則表達式同樣允許 URL 中的下划線) if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/% =~_|]/i",$website)) { $websiteErr = "Invalid URL"; } } if (empty($_POST["comment"])) { $comment = ""; } else { $comment = test_input($_POST["comment"]); } if (empty($_POST["gender"])) { $genderErr = "Gender is required"; } else { $gender = test_input($_POST["gender"]); } } ?>
5.用戶提交表單后保留輸入字段中的值
如需在用戶點擊提交按鈕后在輸入字段中顯示值,我們在以下輸入字段的 value 屬性中增加了一小段 PHP 腳本:name、email 以及 website。在 comment 文本框字段中,我們把腳本放到了 <textarea> 與 </textarea> 之間。這些腳本輸出 $name、$email、$website 和 $comment 變量的值。
然后,我們還需要顯示選中了哪個單選按鈕。對此,我們必須操作 checked 屬性(而非單選按鈕的 value 屬性):
Name: <input type="text" name="name" value="<?php echo $name;?>"> E-mail: <input type="text" name="email" value="<?php echo $email;?>"> Website: <input type="text" name="website" value="<?php echo $website;?>"> Comment: <textarea name="comment" rows="5" cols="40"><?php echo $comment;?></textarea> Gender: <input type="radio" name="gender" <?php if (isset($gender) && $gender=="female") echo "checked";?> value="female">Female <input type="radio" name="gender" <?php if (isset($gender) && $gender=="male") echo "checked";?> value="male">Male
最后完整代碼
<!DOCTYPE HTML>
<html>
<head>
<style>
.error {color: #FF0000;}
</style>
</head>
<body>
<?php
// 定義變量並設置為空值
$nameErr = $emailErr = $genderErr = $websiteErr = "";
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
if (empty($_POST["name"])) {
$nameErr = "姓名是必填的";
} else {
$name = test_input($_POST["name"]);
// 檢查姓名是否包含字母和空白字符
if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
$nameErr = "只允許字母和空格";
}
}
if (empty($_POST["email"])) {
$emailErr = "電郵是必填的";
} else {
$email = test_input($_POST["email"]);
// 檢查電子郵件地址語法是否有效
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr = "無效的 email 格式";
}
}
if (empty($_POST["website"])) {
$website = "";
} else {
$website = test_input($_POST["website"]);
// 檢查 URL 地址語法是否有效(正則表達式也允許 URL 中的斜杠)
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) {
$websiteErr = "無效的 URL";
}
}
if (empty($_POST["comment"])) {
$comment = "";
} else {
$comment = test_input($_POST["comment"]);
}
if (empty($_POST["gender"])) {
$genderErr = "性別是必選的";
} else {
$gender = test_input($_POST["gender"]);
}
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
<h2>PHP 驗證實例</h2>
<p><span class="error">* 必需的字段</span></p>
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
姓名:<input type="text" name="name">
<span class="error">* <?php echo $nameErr;?></span>
<br><br>
電郵:<input type="text" name="email">
<span class="error">* <?php echo $emailErr;?></span>
<br><br>
網址:<input type="text" name="website">
<span class="error"><?php echo $websiteErr;?></span>
<br><br>
評論:<textarea name="comment" rows="5" cols="40"></textarea>
<br><br>
性別:
<input type="radio" name="gender" value="female">女性
<input type="radio" name="gender" value="male">男性
<span class="error">* <?php echo $genderErr;?></span>
<br><br>
<input type="submit" name="submit" value="提交">
</form>
<?php
echo "<h2>您的輸入:</h2>";
echo $name;
echo "<br>";
echo $email;
echo "<br>";
echo $website;
echo "<br>";
echo $comment;
echo "<br>";
echo $gender;
?>
</body>
</html>