php form validation form
PHP 5 Form Validation
В этой и следующих главах показано, как использовать PHP для проверки данных формы.
Проверка формы PHP
Подумайте безопасности при обработке PHP форм!
На этих страницах будет показано, как обрабатывать PHP-формы с учетом безопасности. Правильная проверка данных формы важна для защиты вашей формы от хакеров и спамеров!
HTML-форма, в которой мы будем работать в этих главах, содержит различные поля ввода: обязательные и необязательные текстовые поля, переключатели и кнопку Submit:
Ниже приведены правила проверки для данной формы.
| Поле | Правила проверки |
|---|---|
| Name | Обязательно. + Должен содержать только буквы и пробелы |
| Обязательно. + Должен содержать действительный адрес электронной почты (с @ и.) | |
| Website | Дополнительные. Если он присутствует, он должен содержать допустимый URL-адрес |
| Comment | Дополнительные. Многострочный ввод (текстовое поле) |
| Gender | Обязательно. Необходимо выбрать один |
Сначала мы рассмотрим простой HTML-код для формы:
Текстовые поля
Поля «имя», «электронная почта» и «веб-сайт» являются элементами текстового ввода, а поле комментария — текстовым полем. HTML-код выглядит следующим:
Переключатели
Гендерные поля являются переключателями, а HTML-код выглядит следующим:
Проверка (валидация) форм PHP
В этой главе будет показано, как обрабатывать формы PHP с учетом требований безопасности. Правильная валидация данных формы важна для её защиты от хакеров и спамеров!
Что такое валидация?
Валидация означает проверку данных, вводимых пользователем. В PHP доступны два типа проверки:
Валидация на стороне клиента — проверка выполняется на стороне клиента в веб-браузере.
Валидация на стороне сервера — после отправки данных на сервер их проверка осуществляется на серверной стороне.
Ниже приведена HTML-форма, которая содержит различные поля ввода: обязательные (required) и необязательные текстовые поля, переключатели (радио-кнопки) и кнопку отправки (submit). С этой формой мы будем с вами работать в этой главе. Попробуйте ввести данные:
Некоторые из правил проверки нашей формы:
| Поле формы | Правила валидации |
|---|---|
| Имя | Обязатеьно для заполнения + Должно содержать только буквы и пробелы |
| Обязатеьно для заполнения + Требуются символ собачка (@) и точка (.) | |
| Веб-сайт | Необязательно для заполнения. Проверяется наличие валидного URL |
| Комментарий | Необязательно для заполнения. Многострочное поле ввода (текстовое поле) |
| Образование | Обязатеьно для заполнения + Должна быть выбрана хотя бы одна кнопка |
Текстовые поля
Поля для ввода имени, адреса электронной почты и веб-сайта создается с помощью элемента (от англ. input — ввод) с атрибутом type=»text», а поле для комментария применяется элемент
Радио-кнопки
В нашей форме выбор образования осуществляется с помощью элементов типа radio (переключатели), которые используют принцип логического «ИЛИ», позволяя выбрать только одно из нескольких значений: если вы выбираете одно положение, то все остальные становятся неактивными:
Элемент формы (form)
Главным для элемента является атрибут action, который указывает обработчик данных для формы. Обработчик данных — это файл, описывающий, что нужно делать с данными формы. Данные формы отправляются с помощью method = «post»:
$_SERVER [«PHP_SELF»] — это суперглобальная переменная, которая возвращает имя файла текущего выполняемого скрипта-обработчика.
Функция htmlspecialchars() преобразует данные, введенные пользователем, которые могут содержать нежелательные HTML-тэги. Производятся следующие преобразования:
‘&’ (амперсанд) преобразуется в ‘&’
‘ ‘ (знак «больше чем») преобразуется в ‘>’
Эти манипуляции предотвращает использование злоумышленниками кода путем внедрения скрипта (атаки с межсайтовым скриптингом) в формы.
Примечание о безопасности форм PHP
Если Вы используете на странице сайта PHP_SELF, то пользователь может ввести в адресной строке косую черту (/), а затем выполнить несколько команд межсайтового скриптинга (XSS).
Примечание: XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. XSS позволяет злоумышленникам внедрять клиентские скрипты в веб-страницы, просматриваемые другими пользователями..
Предположим, у нас есть следующая форма на странице с именем «send_form.php»:
Теперь, если пользователь вводит обычный URL-адрес в адресной строке, например «http://site_name.com/send_form.php», приведенный выше код будет преобразован в:
Теперь пользователь вводит URL-адрес в адресной строке и после косой черты несколько команд межсайтового скриптинга:
После таких манипуляция приведенный выше код будет переведен на:
Работа с формами в PHP
Формы
Формы — это часть языка HTML. Формы нужны для передачи данных от клиента на сервер. Чаще всего формы используются для регистрации пользователей, заполнения анкет, оформления заказа в интернет магазине, и так далее.
Через формы можно отправлять как простую текстовую информацию, так и файлы.
Большую часть времени программирования на PHP вы будете так или иначе работать с формами и данными из них.
HTML описывает то, из каких элементов состоит форма, и как она выглядит. Но без принимающей стороны, то есть сервера, который принимает эти данные и обрабатывает их нужным образом, создавать формы нет никакого смысла.
PHP содержит множество средств для работы с формами. Это позволяет очень просто решать типичные задачи, которые часто возникают в веб-программировании:
Практически любой современный сайт содержит как минимум несколько разных HTML-форм.
Отправка формы
Рассмотрим один типичный пример — форма обратной связи. Для связи пользователей с авторами сайта, как правило, используются формы обратной связи, где человек указывает имя, почту для обратной связи и текст своего сообщения.
Такая форма в HTML может выглядеть следующим образом:
Это очень простая форма, состоящая из трёх полей и одной кнопки отправки.
Почти весь приведённый код описывает внешний вид и содержание формы, но следует обратить внимание на два атрибута тега
Тут есть два важных отличия от первого примера:
PHP автоматически сохраняет все загруженные файлы во временную папку на сервере. Но хранить там файлы нельзя, потому что эта директория периодически очищается, и ссылку на такой файл нельзя дать на сайте. Решение здесь только одно — переместить загруженный файл в другую папку. Перемещение файла всегда выполняют сразу после загрузки.
Перемещение загруженного файла
Код для перемещения файла в новую папку:
Функция move_uploaded_file() выполняет два действия:
Валидация формы
Валидация формы — это проверка содержимого её полей. Задача такой проверки — убедиться, что необходимые поля заполнены, а значения в них соответствуют ожидаемому формату.
Так, например, при регистрации пользователя на сайте, он должен заполнить поля с адресом электронной почты и придумать себе пароль. Оба поля обязательны к заполнению, но значение из поля email также должно быть корректным email-адресом.
Помимо текстовых значений формы, можно проверять формат и размер загружаемых файлов.
Общий подход к валидации
При выполнения валидации любой формы порядок действий будет всегда одним:
PHP Form Validation
Summary: in this tutorial, you’ll learn about PHP form validation, how to validate form data, and how to show error messages if the user inputs are invalid.
Introduction to PHP form validation
When processing a form, it’s critical to validate user inputs to ensure that the data is in a valid format.
There are two types of validations: client-side & server-side:
The client-side validation is performed in the web browsers of the users. To validate data at the client side, you can use HTML5 validation or JavaScript. The client-side validation aims to assist legitimate users in entering data in the valid format before submitting it to the server.
However, client-side validation doesn’t prevent malicious users from submitting data that can potentially exploit the application.
The server-side validation validates data in the web server using PHP. To validate data in PHP, you can use the filter_var() and filter_input() functions.
PHP form validation example
We’ll build an email subscription form that includes a validation feature. The form has the name and email input elements and a submit button:
If you don’t enter the name and/or email and click the subscribe button, the form will show the error messages. Also, if you enter an invalid email address, the form will show a different error message.
Notice that we don’t use the client-side validation for this form to make it easier to test. In practice, you should also use client-side validation.
Organize the directory and files
First, create a file and directory structure as follows:
The following table describes the purpose of each file:
| File | Directory | Description |
|---|---|---|
| index.php | . | Contain the main logic of the form |
| header.php | inc | Contain the header code |
| footer.php | inc | Contain the footer code |
| get.php | inc | Contain the email subscription form |
| post.php | inc | Contain the code for handling form submission |
| style.css | css | Contain the CSS code |
header.php
The following shows the header.php file:
The header.php file link to the style.css file in the css directory.
footer.php
And the footer.php only contains the enclosing tags that correspond to the opening tags in the header.php file:
index.php
The index.php file contains the main logic of the form:
How the index.php works.
First, load code from both header.php and footer.php files using the require construct at the top and bottom of the file to generate the header and footer.
Third, show the form if the HTTP request method is GET by loading the get.php file. Once you enter the
get.php
The get.php file contains the form:
How the get.php works.
post.php
The following shows the code of the post.php file. The post.php validates the form data using the filter_input() and filter_var() functions.
First, define some constants to store the error messages. In a real-world application, you can store all the messages in a separate file:
Finally, if the form has no error, show the confirmation message:
To complete the form, you can save the contact data to a database or call an API of an email marketing service to add the contact to your list.
PHP Form validation
Preface
In this tutorial, we will see how to use PHP to validate the data collected from a form.
You will see how to validate various fields used in general, like text, list, checkbox, radio button and we will also see how to retain POST data, so that after the user submits the form, even if the data supplied is not valid, data is not lost.
Live Demo
Following is a live demo of the PHP form we will create by the end of this tutorial.
Pictorial presentation
The following picture shows what we need to do while validating a form.
Base HTML file
We have used bootstrap for styling the form, but for a few styles we have added some custom styling.
We have used POST method and action=» » states that after submission form data will be handled by the PHP script present in this file only. You may opt for sending form data to a different file.
Validation for non-empty, alphabets and whitespace only
The following code is added within the form
Code for validation
email Validation
Code added within the form
Code for validation
Selection list Validation
Code added within the form
Code for validation
Date Validation
Code added within the form
Code for validation
Validation for non-empty and non-negative integer
Code added within the form
Code for validation
Checkbox Validation
Code added within the form
Code for validation
Validaiton for alphnumeric characters only with a minimum number of characters
Code added within the form
Code for validation
Validation for radio button
Code added within the form
Submit button
Code added within the form
Final piece of code to let the user know that form is validated
And now you need to disaply a messge informing user that the form is validated. So, we add a single line of PHP code immediately before the form starts.
How to Mail data collected after validation
IF you wish to send data collected through this form after validation to someone’s mail address, following code would help you to do so.
So, if you try to understand how to write code for it step by step, step 1 is to declare the mail address to whom you want to send mail, step 2 is to write subject of the mail, step three is to collect data from POST so that you can write them to the body of mail, step 4 is to declare the mail id from which the mail is coming and finally sent mail with PHP mail() function. You may print some message after sending mail optionally.
PHP: Tips of the Day
PHP: PHPDoc type hinting for array of objects?