清理和验证表单php

Posted

技术标签:

【中文标题】清理和验证表单php【英文标题】:Sanitizing and validating form php 【发布时间】:2016-02-12 12:05:30 【问题描述】:

完全陷入了深渊 - php 新手并进行简单的表单提交(创建帐户页面)以发送到 mysql 数据库,因此对于问题的新手表示歉意。

我不确定如何在发送数据之前正确验证和清理数据。 但是我在插入数据库时​​使用了 PDO 和占位符,所以我认为我已经涵盖了这一面。

<form action="createaccount.php" name="form" method="post">
    <input type="text" name="createUserName" id="createUserName" placeholder="User Name"><br>
    <input type="password" name="passWord" id="passWord" placeholder="Password (Min 6 Characters)"><br>
    <input type="password" name="confirmPW" id="confirmPW" placeholder="Confirm Password"><br>

    <input type="text" name="fName" id="fName" placeholder="First Name"><br>
    <input type="text" name="sName" id="sName" placeholder="Surname"><br><br>

    <input type="email" name="userEmail" id="userEmail" placeholder="Email Address"><br>
    <input type="submit" value="Create Account">
</form>

这将被发送到一个名为 createaccount.php 的单独 php 文件,该文件运行用户名检查,如果成功则运行一个函数,该函数将字段发送到我的 dbHandler 类中的插入函数中。

<?php 
session_start();
include('connect.php'); 

  $username = $_POST['createUserName'];
  $password = $_POST['passWord'];
  $password_confirm = $_POST['confirmPW'];
  $firstname = $_POST['fName'];
  $surname = $_POST['sName'];
  $email = $_POST['userEmail'];

  if ($dbh->checkUserName($username)) 
    $_SESSION['message'] = "Username is taken, please try again";
    header('Location: createAccount.php');
  exit();
   else 
    $dbh->createAccount($username, $password, $password_confirm, $firstname, $surname, $email);
    header('Location: login.php');
    exit();
  ;

 ?>

所以我的问题是。我应该使用

<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>

在我的表单动作中?如果是这样的话。我需要在 createaccount.php 上运行该函数,是的,因为我无法将它发送到另一个 php 文件?

我应该使用 filter_var 吗?和/或我是否应该在我的变量中使用修剪、stripslashes 或任何东西我发送到表单中?我该怎么做呢?我的理解是

$name = test_input($_POST['createUserName']);
$password = test_input($_POST['passWord']); .. etc

function test_input($data) 
        $data = trim($data);
        $data = stripslashes($data);
        $data = htmlspecialchars($data);
return $data;

另外,这是我的插入函数。这是否安全/写入正确?

<?php 
function createAccount($userName, $pw, $confirmPW, $fName, $sName, $email) 
        $sql = "INSERT INTO `room_project`.`user` (`userName`, `pass`, `confirmPW`, `fName`, `sName`, `email`) VALUES (?, ?, ?, ?, ?, ?);";
        $query = $this->connection->prepare($sql);
        $query->execute(Array($userName, $pw, $confirmPW, $fName, $sName, $email));

    

?>

我非常感谢任何建议!再次请原谅这是初学者的性质:)

【问题讨论】:

这里是一个简单的PDO连接示例***.com/questions/31906248/… 【参考方案1】:

我已经为您制作了一个示例,供您在发送到服务器之前检查和验证字段。请看一看。

<script>
function checknull()
    if(document.getElementById("createUserName").value == "")
        alert("enter user name");
        return false;
    

    return true

</script>

<form action="createaccount.php" name="form" method="post" onsubmit="return checknull()">

这不是一个完整的例子。让您了解如何通过 javascript 进行空值检查。

【讨论】:

感谢@ShaymolBapary,我正在寻找一种 PHP 验证和清理方法,我有一个类似的 JS 函数来检查字段,只是想知道其他方法。 此问题已明确标记为php。这充其量是对另一个问题的正确答案。【参考方案2】:

您应该使用PHP regex 来严格验证您的输入数据。

假设您要验证以下输入字段,

用户名 密码 名字 姓氏 电子邮件

那么你会做这样的事情,

if(isset($_POST['submit']) && !empty($_POST['submit']))

    // use a boolean variable to keep track of errors
    $error = false;

    // Username validation
    $username = trim($_POST['username']);
    $username_pattern = "/^[a-zA-Z0-9]3,15$/"; // username should contain only letters and numbers, and length should be between 3 and 15 characters
    if(preg_match($username_pattern, $username))
        // success
    else
        // error
        $error = true;
    

    // Password validation
    $password = $_POST['password'];
    $confirm_password = $_POST['confirm_password'];
    if(strlen($password) >= 6 && $password===$confirm_password) // length of the password should be greater than or equal to 6
       // success
    else
       // error
       $error = true;
    

    // First name validation
    $first_name = trim($_POST['first_name']);
    $first_name_pattern = "/^[a-zA-Z]2,15$/";
    if(preg_match($first_name_pattern, $first_name)) // first name should contain only letters and length should be between 2 and 15 characters
        // success
    else
        // error
        $error = true;
    


    // Last name validation
    $last_name = trim($_POST['last_name']);
    $last_name_pattern = "/^[a-zA-Z]2,15$/";
    if(preg_match($last_name_pattern, $last_name)) // last name should contain only letters and length should be between 2 and 15 characters
        // success
    else
        // error
        $error = true;
    

    // Email validation
    $email = trim()
    $email_pattern = "/^([a-z0-9\._\+\-]3,30)@([a-z0-9\-]2,30)((\.([a-z]2,20))1,3)$/";
    if(preg_match($email_pattern, $email)) // validate email addresses
        // success
    else
        // error
        $error = true;
    

    if(!$error)
        // all fields are validated. Now do your database operations.
    else
        // display error message
    

并使用PDO prepare 来防止您的数据库遭受任何形式的 SQL 注入。

来自 PDO::prepare

为将使用不同参数值多次发出的语句调用 PDO::prepare() 和 PDOStatement::execute() 通过允许驱动程序协商客户端和/或服务器端缓存查询计划和元信息,并且无需手动引用参数,有助于防止 SQL 注入攻击。

【讨论】:

感谢@RajdeepPaul,我会考虑实现这一点。对信息进行消毒呢?我有一个用于我的 SQL 插入的 PDO 语句,目前我在上面发布了它。 @joshuaaron,如果你正确使用了PDOStatement,那么你不需要额外的清理来防止SQL注入see this。如果您需要PDO prepare 的其他帮助,请使用see this 是的,亲爱的,再次抱歉 @RajdeepPaul ,但是我在哪里添加这些验证检查以及如何仅在它们都成功时提交?我是否应该将表单运行到另一个页面(就像我一样)运行插入数据库的函数。谢谢。 @joshuaaron,请参阅上面的更新代码。如果您认为它对您有所帮助,请接受答案以表达您的感激之情:) @joshuaaron,哎呀,这是因为正则表达式中有多余的空间。我已经更新了上面的代码 sn-p。此外,如果您愿意,可以检查您的正则表达式here。干杯。 :)

以上是关于清理和验证表单php的主要内容,如果未能解决你的问题,请参考以下文章

Django:清理和验证相互依赖的表格

验证和清理表单数据后是不是需要“my_real_escape_string”? [复制]

如何使用魔法来验证 Django 表单清理方法中的文件类型?

在保护评论表单和相关 API 端点时,是不是应该在浏览器、服务器或两者中对输入进行清理、验证和编码?

django - 如何在验证之前处理/清理字段

PHP 表单验证