php学习笔记——表单

13、表单

　　1）GET vs. POST

　　GET 和 POST 都创建数组（例如，array( key => value, key2 => value2, key3 => value3, ...)）。此数组包含键/值对，其中的键是表单控件的名称，而值是来自用户的输入数据。

　　GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量，这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码，您能够从任何函数、类或文件访问它们。

　　$_GET 是通过 URL 参数传递到当前脚本的变量数组。

　　$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。

　　通过 GET 方法从表单发送的信息对任何人都是可见的（所有变量名和值都显示在 URL 中）。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过，由于变量显示在 URL 中，把页面添加到书签中也更为方便。

　　通过 POST 方法从表单发送的信息对其他人是不可见的（所有名称/值会被嵌入 HTTP 请求的主体中），并且对所发送信息的数量也无限制。

　　此外 POST 支持高阶功能，比如在向服务器上传文件时进行 multi-part 二进制输入。

　　不过，由于变量未显示在 URL 中，也就无法将页面添加到书签。

　　提示：开发者偏爱 POST 来发送表单数据。

　　2）表单验证（不验证不安全，验证了也不能确保安全。。。。）

　　<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

　　$_SERVER["PHP_SELF"] 将表单数据发送到页面本身，而不是跳转到另一张页面。这样，用户就能够在表单页面获得错误提示信息。

　　3）htmlspecialchars() 函数把特殊字符转换为 HTML 实体。

　　string htmlspecialchars    ( string $string   [, int $flags = ENT_COMPAT | ENT_HTML401   [, string $encoding = ini_get("default_charset")   [, bool $double_encode = true  ]]] )

　　这意味着< 和 > 之内的 HTML 字符会被替换：

　　　　& (和) 转成 &amp;

　　　　" (双引号) 转成 &quot;（unless ENT_NOQUOTES is set）

　　　　'(单引号) 转成&#039;((for ENT_HTML401) or &apos; (for  ENT_XML1, ENT_XHTML or ENT_HTML5), 只有当$flags的值为 ENT_QUOTES会被转换)

　　　　(小于) 转成 &lt;

　　　　> (大于) 转成 &gt;

　　此函数只转换上面的特殊字符，并不会全部转换成 HTML 所定的 ASCII 转换。

　　这样可防止攻击者通过在表单中注入 HTML 或 avaScript 代码（跨站点脚本攻击）对代码进行利用。

　　eg：

　　<?php
　　$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
　　echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
　　?>

　　关于htmlspecialchars更详细的说明：

　　http://www.php.net/manual/en/function.htmlspecialchars.php

　　4）XXS攻击例子（W3school上面截的例子）：

　　

　　关于XXS攻击如何绕过htmlspecialchars

　　https://www.zhihu.com/question/27646993

　5）表单验证实例：

　　eg1:去除表单提交的数据中不必要的字符

　　<?php
　　// 定义变量并设置为空值
　　$name = $email = $gender = $comment = $website = "";

　　if ($_SERVER["REQUEST_METHOD"] == "POST") {
  　　$name = test_input($_POST["name"]);
  　　$email = test_input($_POST["email"]);
  　　$website = test_input($_POST["website"]);
  　　$comment = test_input($_POST["comment"]);
  　　$gender = test_input($_POST["gender"]);
　　}

　　function test_input($data) {
  　　$data = trim($data);//去掉$data中不必要的字符（多余的空格、制表符、换行）
  　　$data = stripslashes($data);//删除用户输入数据中的反斜杠（\）
 　　 $data = htmlspecialchars($data);
 　　 return $data;
　　}
　　?>
　eg2：检查 $_POST 变量是否为空（通过 PHP empty() 函数）。如果为空，则错误消息会存储于不同的错误变量中。如果不为空，则通过 test_input() 函数发送用户输入数据：

　　<?php
　　// 定义变量并设置为空值
　　$nameErr = "";
　　$name = "";

　　if ($_SERVER["REQUEST_METHOD"] == "POST") {
  　　if (empty($_POST["name"])) {
    　$nameErr = "Name is required";
  　　} else {
   　 $name = test_input($_POST["name"]);
  　　}
　　}

　　?>

　　<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

　　Name: <input type="text" name="name">

　　<!--将错误的输入直接显示在页面-->
　　<span class="error">* <?php echo $nameErr;?></span>
　　<br><br>

　　</form>

　　eg3：PHP - 验证 Name、E-mail、以及 URL

　　<?php
　　// 定义变量并设置为空值
　　$nameErr = $emailErr= $websiteErr = "";
　　$name = $email = $website = "";

　　if ($_SERVER["REQUEST_METHOD"] == "POST") {//判断表单提交方式为POST
  　　if (empty($_POST["name"])) {//name值为空，存入nameErr信息
    　　$nameErr = "Name is required";
  　　} else {//name不为空时检查name是否合法
    　　$name = test_input($_POST["name"]);
    　　// 检查名字是否包含字母和空格
    　　if (!preg_match("/^[a-zA-Z ]*$/",$name)) {//跟js一样用正则表达式判断，不符合时给nameErr赋值
      　　$nameErr = "Only letters and white space allowed";
    　　}
  　　}
　　　//判断邮件格式
  　　if (empty($_POST["email"])) {
    　　$emailErr = "Email is required";
  　　} else {
   　　 $email = test_input($_POST["email"]);
   　　 // 检查电邮地址语法是否有效
   　　 if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
     　　 $emailErr = "Invalid email format";
   　　 }
 　　 }
　　　//判断URL格式
  　　if (empty($_POST["website"])) {
  　　  $website = "";
  　　} else {
   　　 $website = test_input($_POST["website"]);
    　　// 检查 URL 地址语言是否有效（此正则表达式同样允许 URL 中的下划线）
    　　if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%
    　　=~_|]/i",$website)) {
      　　$websiteErr = "Invalid URL";
   　　 }
  　　}
　　　}
　　?>

　　到这里PHP基础知识就完了，当然不要以为PHP就这么一点内容。这只是基础语法。感觉学习语言还是要自己动手做做的。