php post php input
6 Answers 6
The reason is that php://input returns all the raw data after the HTTP-headers of the request, regardless of the content type.
This is because these are the only content types that must be supported by user agents. So the server and PHP traditionally don’t expect to receive any other content type (which doesn’t mean they couldn’t).
But if you are working with Ajax a lot, this probaby also includes exchanging more complex data with types (string, int, bool) and structures (arrays, objects), so in most cases JSON is the best choice. But a request with a JSON-payload would look something like this:
This is also how you would access XML-data or any other non-standard content type.
php://input can give you the raw bytes of the data. This is useful if the POSTed data is a JSON encoded structure, which is often the case for an AJAX POST request.
Here’s a function to do just that:
First, a basic truth about PHP.
PHP was not designed to explicitly give you a pure REST (GET, POST, PUT, PATCH, DELETE) like interface for handling HTTP requests.
Other HTTP Request Methods
In PHP, there are no superglobals or input filter functions for getting HTTP request body data when POST is not used. What are disciples of Roy Fielding to do? 😉
That being said, as you advance in your PHP programming knowledge and want to use JavaScript’s XmlHttpRequest object (jQuery for some), you come to see the limitation of this scheme.
$_POST limits you to the use of two media types in the HTTP Content-Type header:
php://input is a read-only stream that allows you to read raw data from the request body. php://input is not available with enctype=»multipart/form-data».
PHP Frameworks to the rescue?
PHP frameworks like Codeigniter 4 and Laravel use a facade to provide a cleaner interface ( IncomingRequest or Request objects) to the above. This is why professional PHP developers use frameworks instead of raw PHP.
Of course, if you like to program, you can devise your own facade object to provide what frameworks do. It is because I have taken time to investigate this issue that I am able to write this answer.
URL encoding? What the heck.
How in touch are you with JavaScript? 🙂
Converting from a JavaScript array or object to a urlencoded string bothers many developers (even with new APIs like Form Data). They would much rather just be able to send JSON, and it would be more efficient for the client code to do so.
Remember (wink, wink), the average web developer does not learn to use the XmlHttpRequest object directly, global functions, string functions, array functions, and regular expressions like you and I ;-). Urlencoding for them is a nightmare. 😉
PHP, what gives?
PHP’s lack of intuitive XML and JSON handling turns many people off. You would think it would be part of PHP by now (sigh).
So many media types (MIME types in the past)
XML, JSON, and YAML all have media types that can be put into an HTTP Content-Type header.
Look how many media-types (formerly, MIME types) are defined by IANA.
Look how many HTTP headers there are.
php://input or bust
Using the php://input stream allows you to circumvent the baby-sitting / hand holding level of abstraction that PHP has forced on the world. 🙂 With great power comes great responsibility!
What about the character encoding?
AH, HA! Yes, you might want the data stream being sent into your application to be UTF-8 encoded, but how can you know if it is or not?
Two critical problems.
Are you going to attempt to handle stream data without knowing how much is there first? That is a terrible idea. You cannot rely exclusively on the HTTP Content-Length header for guidance on the size of streamed input because it can be spoofed.
You are going to need a:
Are you going to attempt to convert stream data to UTF-8 without knowing the current encoding of the stream? How? The iconv stream filter (iconv stream filter example) seems to want a starting and ending encoding, like this.
Thus, if you are conscientious, you will need:
(Update: ‘convert.iconv.UTF-8/UTF-8’ will force everything to UTF-8, but you still have to account for characters that the iconv library might not know how to translate. In other words, you have to some how define what action to take when a character cannot be translated: 1) Insert a dummy character, 2) Fail / throw and exception).
You cannot rely exclusively on the HTTP Content-Encoding header, as this might indicate something like compression as in the following. This is not what you want to make a decision off of in regards to iconv.
Part I: HTTP Request Related
Part II: Stream Data Related
Part III: Data Type Related
(Remember, the data can still be a URL encoded string which you must then parse and URL decode).
Part IV: Data Value Related
Обработка форм в PHP
Что такое форма
и пр., которые заполняются пользователем, отправляются на сервер и обрабатываются с помощью PHP.
Простой пример формы:
В этой форме есть 2 поля для заполнения (input и textarea), а также кнопка отправки формы.
Итак, давайте разбираться, что тут вообще происходит.
Обработка формы с GET-параметрами
Формы можно передавать с помощью методов GET и POST. Указывается метод с помощью атрибута method тега form :
Если метод не указан, то по-умолчанию форма отправляется методом GET.
Формы, отправляемые методом GET, передают данные через URL-адрес.
В отличие от обычных переменных, этот массив виден в любой области видимости, в т.ч. внутри функций. Внутри этого массива хранятся GET-параметры текущего запроса в виде ассоциативного массива.
Получить доступ к этим параметрам можно так:
Поэтому важно указывать атрибут name каждому элементу формы, иначе этот элемент не отправится на сервер.
Итак, создадим простенькую форму и добавим ей PHP-обработчик:
Теперь при отправке заполненной формы PHP выведет на экран то, что мы в эту форму написали.
Метод POST
По этой причине для отправки форм, которые могут содержать конфиденциальную информацию, нужно всегда использовать метод POST. При использовании метода POST данные передаются в теле http-запроса, а не в URL.
Метод GET в формах чаще всего используется для поиска чего-либо (товаров, статей и т.д.).
Некоторые разработчики считают, что данные, передаваемые методом POST, имеют какую-то особую защиту, которая не позволяет злоумышленнику украсть или подменить их.
Это не так. Никакой дополнительной защиты у метода POST нет. Для защиты http-запросов нужно использовать https.
Изменение обработчика формы
При желании вы можете отправлять форму не на текущий URL, а на какой-нибудь другой. Для этого достаточно указать путь к скрипту в атрибуте action :
Причина в том, что php://input возвращает все необработанные данные после HTTP-заголовков запроса, независимо от типа контента.
Но если вы много работаете с Ajax, эта проба также включает в себя обмен более сложными данными с типами (string, int, bool) и структурами (массивами, объектами), поэтому в большинстве случаев JSON является лучшим выбором. Но запрос с JSON-полезной нагрузкой будет выглядеть примерно так:
Данные все еще там, вы просто не можете получить к ним доступ через обертку. Так что вам нужно получить его самостоятельно в необработанном формате file_get_contents(‘php://input’) ( если он не multipart/form-data закодирован ).
Это также, как вы бы получили доступ к XML-данным или любому другому нестандартному типу контента.
php://input может дать вам необработанные байты данных. Это полезно, если данные POST представляют собой структуру в кодировке JSON, что часто имеет место для запроса AJAX POST.
Вот функция для этого:
Во-первых, основная истина о PHP.
При этом, когда вы продвигаетесь в своих знаниях по программированию и хотите использовать XmlHttpRequest объект JavaScript (для некоторых jQuery), вы видите ограничение этой схемы.
$_POST ограничивает вас использованием двух типов медиа в Content-Type заголовке HTTP :
Кодировка URL? Какого черта.
Как вы общаетесь с JavaScript? 🙂
PHP, что дает?
Отсутствие в PHP интуитивной обработки XML и JSON отвлекает многих людей. Вы могли бы подумать, что это будет частью PHP сейчас (вздох).
Так много типов медиа (MIME-типы в прошлом)
Посмотрите, сколько медиа-типов (ранее MIME-типов) определены IANA.
php: // вход или перебор
Использование php://input потока позволяет вам обойти уровень абстракции для сидения / удерживания ребенка, который PHP навязал миру. 🙂 С большой властью приходит большая ответственность!
Как насчет кодировки символов?
Ах, ха! Да, вы можете захотеть, чтобы поток данных, отправляемый в ваше приложение, был в кодировке UTF-8, но как узнать, так ли это?
Две критические проблемы.
Собираетесь ли вы попытаться преобразовать потоковые данные в UTF-8, не зная текущей кодировки потока? Как? Фильтр потока iconv ( пример фильтра потока iconv ), кажется, хочет начальную и конечную кодировку, как это.
Таким образом, если вы добросовестны, вам понадобится:
( Обновление : ‘convert.iconv.UTF-8/UTF-8’ все будет принудительно переведено в UTF-8, но вам все равно придется учитывать символы, которые библиотека iconv может не знать, как переводить. Другими словами, вам нужно как-то определить, какое действие предпринять, когда символ не может быть переведен : 1) Вставьте фиктивный символ, 2) Fail / throw и исключения).
Часть I: HTTP-запрос, связанный
Часть II: Потоковые данные, связанные
Часть III: Тип данных, связанных
(Помните, что данные все еще могут быть строкой в кодировке URL, которую затем необходимо проанализировать и декодировать URL).
Часть IV: Значение данных, связанных
Php post php input
Когда происходит отправка данных формы PHP-скрипту, информация из этой формы автоматически становится доступной ему. Существует несколько способов получения этой информации, например:
Пример #1 Простая HTML-форма
Есть только два способа получить доступ к данным из форм HTML. Доступные сейчас способы приведены ниже:
Пример #2 Доступ к данным из простой HTML-формы, отправленной через POST
PHP также понимает массивы в контексте переменных формы (смотрите соответствующие ЧАВО). К примеру, вы можете сгруппировать связанные переменные вместе или использовать эту возможность для получения значений списка множественного выбора select. Например, давайте отправим форму самой себе, а после отправки отобразим данные:
Пример #3 Более сложные переменные формы
Имена переменных кнопки-изображения
При отправке формы вместо стандартной кнопки можно использовать изображение с помощью тега такого вида:
HTTP Cookies
Замечание: Начиная с PHP 7.2.34, 7.3.23 и 7.4.11, соответственно, имена входящих cookie больше не декодируются из URL-закодированной строки из соображений безопасности.
Если вы хотите присвоить множество значений одной переменной cookie, вы можете присвоить их как массив. Например:
Обратите внимание, что cookie заменит предыдущую cookie с тем же именем в вашем браузере, если только путь или домен не отличаются. Так, для приложения корзины покупок вы, возможно, захотите сохранить счётчик. То есть:
Пример #4 Пример использования setcookie()
Точки в именах приходящих переменных
Как правило, PHP не меняет передаваемых скрипту имён переменных. Однако следует отметить, что точка не является корректным символом в имени переменной PHP. Поэтому рассмотрим такую запись:
По этой причине важно отметить, что PHP будет автоматически заменять любые точки в именах, приходящих переменных на символы подчёркивания.
Определение типов переменных
Список изменений
| Версия | Описание |
|---|---|
| 7.2.34, 7.3.23, 7.4.11 | имена входящих cookie больше не декодируются из URL-закодированной строки из соображений безопасности. |
User Contributed Notes 30 notes
PHP irreversibly modifies field names containing these characters in an attempt to maintain compatibility with the deprecated register_globals feature.
Important: Pay attention to the following security concerns when handling user submitted data :
This post is with regards to handling forms that have more than one submit button.
Suppose we have an HTML form with a submit button specified like this:
Normally the ‘value’ attribute of the HTML ‘input’ tag (in this case «Delete») that creates the submit button can be accessed in PHP after post like this:
This works fine, except when we want to pass more information with the click of this particular button.
Imagine a scenario where you’re dealing with user management in some administrative interface. You are presented with a list of user names queried from a database and wish to add a «Delete» and «Modify» button next to each of the names in the list. Naturally the ‘value’ of our buttons in the HTML form that we want to display will be «Delete» and «Modify» since that’s what we want to appear on the buttons’ faceplates.
Using arrays is the way to go. Assuming that we know the unique numerical identifier of each user, such as their primary key from the database, and we DON’T wish to protect that number from the public, we can make the ‘action_button’ into an array and use the user’s unique numerical identifier as a key in this array.
Our HTML code to display the buttons will become:
The 0000000002 is of course the unique numerical identifier for this particular user.
Then when we handle this form in PHP we need to do the following to extract both the ‘value’ of the button («Delete» or «Modify») and the unique numerical identifier of the user we wish to affect (0000000002 in this case). The following will print either «Modify» or «Delete», as well as the unique number of the user:
If we wish to protect the unique numerical identifier, we must use some other uniquely identifying attribute of each user. Possibly that attribute should be encrypted when output into the form for greater security.
PHP сценарии обработки HTML форм
PHP сценарии обработки HTML форм 
3.03.16 
03.03.16 
5 
202624
1. Кнопки – Тег
Параметр TYPE
Определяет тип кнопки, который устанавливает ее поведение в форме. По внешнему виду кнопки разного типа никак не различаются, но у каждой такой кнопки свои функции. Значение по умолчанию: button.
Аргументы:
button – Обычная кнопка.
reset – Кнопка для очистки введенных данных формы и возвращения значений в первоначальное состояние.
Submit – Кнопка для отправки данных формы на сервер.
1.1. Кнопка (input type=button)
1.2. Кнопка с изображением (input type=image)
Кнопки с изображениями аналогичны по действию кнопке Submit, но представляют собой рисунок. Для этого задаем type=image и src=»http://coderhs.com/archive/image.gif».
Когда пользователь щелкнет где-нибудь на изображении, соответствующая форма будет передана на сервер с двумя дополнительными переменными – sub_x и sub_y. Они содержат координаты нажатия пользователя на изображение. Опытные программисты могут заметить, что на самом деле имена переменных, отправленных браузером, содержат точку, а не подчеркивание, но PHP автоматически конвертирует точку в подчеркивание.
1.3. Кнопка отправки формы (input type=submit)
Служит для отправки формы сценарию. При создании кнопки для отправки формы необходимо указать 2 атрибута: type=»submit» и value=»Текст кнопки». Атрибут name необходим, если кнопка не одна, а несколько и все они созданы для разных операций, например кнопки «Сохранить», «Удалить», «Редактировать» и т.д. После нажатия на кнопку сценарию передается строка имя=текст кнопки.
1.4. Массив кнопок (submit) для выбора варианта действий
2. Кнопка сброса формы (Reset)
При нажатии на кнопку сброса (reset), все элементы формы будут установлены в то состояние, которое было задано в атрибутах по умолчанию, причем отправка формы не производиться.
3. Флажок (checkbox)
Флажки checkbox предлагают пользователю ряд вариантов, и разрешает произвольный выбор (ни одного, одного или нескольких из них).
4. Переключатель(radio)
Переключатели radio предлагают пользователю ряд вариантов, но разрешает выбрать только один из них.
Пример 1.
5. Текстовое поле (text)
При создании обычного текстового поля размером size и максимальной допустимой длины maxlength символов, атрибут type принимает значение text. Если указан параметр value, то поле будет отображать указанный в переменной value. При создании поля не забывайте указывать имя поля, т.к. этот атрибут является обязательным.
6. Поле для ввода пароля (password)
Полностью аналогичен текстовому полю, за исключением того, что символы, набираемые пользователем, не будут отображаться на экране.
7. Скрытое текстовое поле (hidden)
Позволяет передавать сценарию какую то служебную информацию, не отображая её на странице.
8. Выпадающий список (select)
Если необходимо создать выпадающий с предсказуемой последовательностью. Например, список с годами с 2000 по 2050. То используется следующий прием.
9. Многострочное поле ввода текста (textarea)
создает пустое поле шириной в 20 символов и состоящее из 2 строк.
Для того, чтобы в многострочном текстовом поле соблюдалось html-форматирование (перенос строк по средством тега
или
), то используйте функцию nl2br():
10. Кнопка для загрузки файлов (browse)
Служит для реализации загрузки файлов на сервер. При создании текстового поля также необходимо указать тип поля type как «file».
Способы общения браузера с сервером
Метод GET
Метод POST
Загрузка файлов методом POST
Как определить метод запроса?
Какой способ следует применять?
Пример, для демонстрации отправки данных методом POST и GET одновременно и получения ответа от сервера.
В этом примере файл file.php получил переменные:
GET var=»23″ и var2=»54″
POST var3=»test» и var4=»еще тест»
Как перейти на другую страницу сайта из тела программы?
На предыдущую с обновлением:
Через генерацию JavaScript-кода:
На предыдущую с обновлением:
На предыдущую без обновления:
Перезагрузить текущую страницу:
На предыдущую страницу с обновлением:
На текущую страницу с обновлением и генерацией полного url-адреса:
Самое главное, что надо помнить: сервер по своей инициативе обратиться к клиенту не может. Мы можем только по факту запроса выдать что-то браузеру – либо страницу, либо команду запросить другой ресурс.
Примеры необычного использования форм
Пример 1. Задание номера карточки.
Здесь отсутствует кнопка передачи данных, т.к. форма, состоящая из одного поля, передается автоматически при нажатии клавиши Enter.
Пример 2. Навигация по массиву (списку) по средством формы.
В этом примере осуществляется перемещение по списку (массиву) элементов с отражением его номера (ключа) и значения элемента в массиве с помощью кнопок и скрытой строки с передачей навигационного параметра.
Проверка корректности данных или допустимости вводимых данных
1. Проверку на длину:
2. Проверку корректности адреса электронной почты
Такая проверка осуществляется зачастую с помощью регулярных выражений. Как известно, у адреса две составляющие – имя пользователя и имя домена, которые разделены знаком @. В имени пользователя могут присутствовать заглавные и прописные буквы цифры, знаки подчеркивания и минуса, точки. Для проверки разделителя между именем пользователя и именем домена, в выражение требуется добавить + @.
Также не забывайте, что электронный ящик может находиться на поддомене xxx@xxx.xxx.com, или даже на домене четвертого, пятого уровня (как вариант, реально эта ситуация крайне редка, но отбрасывать эти адреса не стоит). Поэтому, в регулярном выражении не забывайте использовать точку (экранированную «\.«) для указания того, что часть адреса после «@» может содержать точку, как разделитель доменных имен.
Таким образом, регулярное выражение, проверяющее имя пользователя и наличие разделителя имеет следующий вид:
Для проверки доменного имени первого уровня учитываем, что его длина уже составляет не только 2 символа (.ru) или 3 символа (.com), но и 4 символа – .info, и даже 6 символов. Поэтому добавляем такое выражение:
Объединяя эти шаги, получаем следующее регулярное выражение для проверки адресов электронной почты:
Проверка осуществляется по этому шаблону с применением функции preg_match():
Эта пользовательская функция check_email возвращает true, если переданное значение переменной $email соответствует шаблону и false в противном случае.
В итоге проверка на корректность будет выглядеть так:
Соответственно в файле form.php перед формой прописываем следующее:
Соответственно, если ошибка была, то она будет напечатана пользователю перед формой. Таким же методом можно сохранять данные в заполненных полях формы, чтобы пользователь по несколько раз не вводил одно и то же.
Другие проверки на корректность введенных данных
Фильтрация данных
Прежде всего, следует фильтровать данные, которые передает пользователь осознанно – в основном, это данные различных форм. Это может быть пара логин-пароль для входа, пункт голосования и т.п. Например, такая форма
Если вы знакомы с регулярными выражениями, то предыдущий пример можно записать гораздо короче:
Этот фрагмент кода будет проверять введенный логин на соответствие регулярному выражению ‘/[0-9a-z_]/i‘, которое означает: все цифры + все латинские буквы в любом регистре + знак подчеркивания. Если логин содержит другие символы, то будет показано сообщение об ошибке.
Проверка на пустоту поля
Проверка того, что пользователь ввел данные, может осуществляться, к примеру, с помощью функции isset:
Для этой же цели можно использовать функцию empty:
На практике удобно сначала проверить, не пустой ли action формы, а потом уже проверять различные его составляющие: поле имя, e-mail и т. д. К примеру: