在處理PHP表單時(shí)我們需要考慮安全性。

本章節(jié)我們將展示PHP表單數(shù)據(jù)安全處理，為了防止黑客及垃圾信息我們需要對(duì)表單進(jìn)行數(shù)據(jù)安全驗(yàn)證。

在本章節(jié)介紹的HTML表單中包含以下輸入字段： 必須與可選文本字段，單選按鈕，及提交按鈕：

實(shí)例

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP.cn</title>
 </head>
 <body>
 <h2>PHP 表單驗(yàn)證實(shí)例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 
    名字: <input type="text" name="name" value="">
     <br>
     E-mail: <input type="text" name="email" value="">
     <br>
     網(wǎng)址: <input type="text" name="website" value="">
     <br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br>
     性別:
     <input type="radio" name="gender"  value="female">女
     <input type="radio" name="gender"  value="male">男
     <br>
     <input type="submit" name="submit" value="提交">
 </form>
 </body>
 </html>

程序運(yùn)行結(jié)果：

上述表單驗(yàn)證規(guī)則如下：

讓我們把代碼分開(kāi)來(lái)看看：

文本字段

"名字", "E-mail", 及"網(wǎng)址"字段為文本輸入元素text，"備注"字段是文本域 textarea。

HTML代碼如下所示:

名字: <input type="text" name="name" value="">
    E-mail: <input type="text" name="email" value="">
網(wǎng)址: <input type="text" name="website" value="">
備注: <textarea name="comment" rows="5" cols="40"></textarea>

單選按鈕

"性別"字段是 radio單選按鈕

HTML代碼如下所示：

性別:
    <input type="radio" name="gender"  value="female">女
    <input type="radio" name="gender"  value="male">男

表單元素

HTML 表單代碼如下所示:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"])";?>

 該表單使用 method="post" 方法來(lái)提交數(shù)據(jù)。

什么是 $_SERVER["PHP_SELF"] 變量？

$_SERVER["PHP_SELF"] 是一種超全局變量，它返回當(dāng)前執(zhí)行腳本的文件名。

因此，$_SERVER["PHP_SELF"] 將表單數(shù)據(jù)發(fā)送到頁(yè)面本身，而不是跳轉(zhuǎn)到另一張頁(yè)面。這樣，用戶就能夠在表單頁(yè)面獲得錯(cuò)誤提示信息。

什么是 htmlspecialchars() 函數(shù)？

htmlspecialchars() 函數(shù)把特殊字符轉(zhuǎn)換為 HTML 實(shí)體。這意味著 < 和 > 之類的 HTML 字符會(huì)被替換為 &lt; 和 &gt; 。這樣可防止攻擊者通過(guò)在表單中注入 HTML 或 JavaScript 代碼（跨站點(diǎn)腳本攻擊）對(duì)代碼進(jìn)行利用。

關(guān)于 PHP 表單安全性的重要提示

$_SERVER["PHP_SELF"] 變量能夠被黑客利用！

如果您的頁(yè)面使用了 PHP_SELF，用戶能夠輸入下劃線然后執(zhí)行跨站點(diǎn)腳本（XSS）又叫css。                                                            

 提示：跨站點(diǎn)腳本（Cross-site scripting，XSS）是一種計(jì)算機(jī)安全漏洞類型，常見(jiàn)于 Web 應(yīng)用程序。XSS 能夠使攻擊者向其他用戶瀏覽的網(wǎng)頁(yè)中輸入客戶端腳本。

 假設(shè)我們的一張名為 "test_form.php" 的頁(yè)面中有如下表單：

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

現(xiàn)在，我們使用URL來(lái)指定提交地址 "test_form.php",以上代碼修改為如下所示:

<form method="post" action="test_form.php">

這樣做就很好了。

但是，考慮到用戶會(huì)在瀏覽器地址欄中輸入以下地址:

http://m.miracleart.cn/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

以上的 URL 中，將被解析為如下代碼并執(zhí)行：

<form method="post" action="test_form.php/"><script>alert('hacked')</script>

代碼中添加了 script 標(biāo)簽，并添加了alert命令。 當(dāng)頁(yè)面載入時(shí)會(huì)執(zhí)行該Javascript代碼（用戶會(huì)看到彈出框）。 這僅僅只是一個(gè)簡(jiǎn)單的實(shí)例來(lái)說(shuō)明PHP_SELF變量會(huì)被黑客利用。

請(qǐng)注意， 任何JavaScript代碼可以添加在<script>標(biāo)簽中！ 黑客可以利用這點(diǎn)重定向頁(yè)面到另外一臺(tái)服務(wù)器的頁(yè)面上，頁(yè)面 代碼文件中可以保護(hù)惡意代碼，代碼可以修改全局變量或者獲取用戶的表單數(shù)據(jù)。

如何避免 $_SERVER["PHP_SELF"] 被利用?

$_SERVER["PHP_SELF"] 可以通過(guò) htmlspecialchars() 函數(shù)來(lái)避免被利用。

form 代碼如下所示：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars() 把一些預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體。現(xiàn)在如果用戶想利用 PHP_SELF 變量, 結(jié)果將輸出如下所示：

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

嘗試該漏洞失?。?/p>

通過(guò) PHP 驗(yàn)證表單數(shù)據(jù)

我們要做的第一件事是通過(guò) PHP 的 htmlspecialchars() 函數(shù)傳遞所有變量。

在我們使用 htmlspecialchars() 函數(shù)后，如果用戶試圖在文本字段中提交以下內(nèi)容：

<script>location.href('http://www.hacked.com')</script>

- 代碼不會(huì)執(zhí)行，因?yàn)闀?huì)被保存為轉(zhuǎn)義代碼，就像這樣：

&lt;script&gt;location.href('http://www.hacked.com')&lt;/script&gt;

現(xiàn)在這條代碼顯示在頁(yè)面上或 e-mail 中是安全的。

在用戶提交該表單時(shí)，我們還要做兩件事：

1.   （通過(guò) PHP trim() 函數(shù)）去除用戶輸入數(shù)據(jù)中不必要的字符（多余的空格、制表符、換行）

2.   （通過(guò) PHP stripslashes() 函數(shù)）刪除用戶輸入數(shù)據(jù)中的反斜杠（\）

接下來(lái)我們創(chuàng)建一個(gè)檢查函數(shù)（相比一遍遍地寫代碼，這樣效率更好）。

我們把函數(shù)命名為 test_input()。

現(xiàn)在，我們能夠通過(guò) test_input() 函數(shù)檢查每個(gè) $_POST 變量，腳本是這樣的：

 實(shí)例

<!DOCTYPE HTML>
 <html>
 <head>
     <meta charset="utf-8">
     <title>PHP中文網(wǎng)(php.cn)</title>
 </head>
 <body>
 
 <?php
 // 定義變量并默認(rèn)設(shè)置為空值
 $name = $email = $gender = $comment = $website = "";
 
 if ($_SERVER["REQUEST_METHOD"] == "POST")
 {
     $name = test_input($_POST["name"]);
     $email = test_input($_POST["email"]);
     $website = test_input($_POST["website"]);
     $comment = test_input($_POST["comment"]);
     $gender = test_input($_POST["gender"]);
 }
 
 function test_input($data)
 {
     $data = trim($data);
     $data = stripslashes($data);
     $data = htmlspecialchars($data);
     return $data;
 }
 ?>
 
 <h2>PHP 表單驗(yàn)證實(shí)例</h2>
 <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
     名字: <input type="text" name="name">
     <br><br>
     E-mail: <input type="text" name="email">
     <br><br>
     網(wǎng)址: <input type="text" name="website">
     <br><br>
     備注: <textarea name="comment" rows="5" cols="40"></textarea>
     <br><br>
     性別:
     <input type="radio" name="gender" value="female">女
     <input type="radio" name="gender" value="male">男
     <br><br>
     <input type="submit" name="submit" value="提交">
 </form>
 
 <?php
 echo "<h2>您輸入的內(nèi)容是:</h2>";
 echo $name;
 echo "<br>";
 echo $email;
 echo "<br>";
 echo $website;
 echo "<br>";
 echo $comment;
 echo "<br>";
 echo $gender;
 ?>
 
 </body>

運(yùn)行程序看看吧

注意：我們?cè)趫?zhí)行以上腳本時(shí)，會(huì)通過(guò)$_SERVER["REQUEST_METHOD"]來(lái)檢測(cè)表單是否被提交 。如果 REQUEST_METHOD 是 POST, 表單將被提交 - 數(shù)據(jù)將被驗(yàn)證。如果表單未提交將跳過(guò)驗(yàn)證并顯示空白。

在以上實(shí)例中使用輸入項(xiàng)都是可選的，即使用戶不輸入任何數(shù)據(jù)也可以正常顯示。

在接下來(lái)的章節(jié)中我們將介紹如何對(duì)用戶輸入的數(shù)據(jù)進(jìn)行驗(yàn)證。