清理和验证表单php

【问题标题】:Sanitizing and validating form php清理和验证表单php
【发布时间】:2016-02-12 12:05:30
【问题描述】:

完全陷入了深渊 - PHP 新手并进行简单的表单提交(创建帐户页面)以发送到 mySQL 数据库,因此对于问题的新手表示歉意。

我不确定如何在发送数据之前正确验证和清理数据。 但是我在插入数据库时​​使用了 PDO 和占位符,所以我认为我已经涵盖了这一面。

<form action="createaccount.php" name="form" method="post">
    <input type="text" name="createUserName" id="createUserName" placeholder="User Name"><br>
    <input type="password" name="passWord" id="passWord" placeholder="Password (Min 6 Characters)"><br>
    <input type="password" name="confirmPW" id="confirmPW" placeholder="Confirm Password"><br>

    <input type="text" name="fName" id="fName" placeholder="First Name"><br>
    <input type="text" name="sName" id="sName" placeholder="Surname"><br><br>

    <input type="email" name="userEmail" id="userEmail" placeholder="Email Address"><br>
    <input type="submit" value="Create Account">
</form>

这将被发送到一个名为 createaccount.php 的单独 php 文件,该文件运行用户名检查,如果成功则运行一个函数,该函数将字段发送到我的 dbHandler 类中的插入函数中。

<?php 
session_start();
include('connect.php'); 

  $username = $_POST['createUserName'];
  $password = $_POST['passWord'];
  $password_confirm = $_POST['confirmPW'];
  $firstname = $_POST['fName'];
  $surname = $_POST['sName'];
  $email = $_POST['userEmail'];

  if ($dbh->checkUserName($username)) {
    $_SESSION['message'] = "Username is taken, please try again";
    header('Location: createAccount.php');
  exit();
  } else {
    $dbh->createAccount($username, $password, $password_confirm, $firstname, $surname, $email);
    header('Location: login.php');
    exit();
  };

 ?>

所以我的问题是。我应该使用

<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>

在我的表单动作中?如果是这样的话。我需要在 createaccount.php 上运行该函数,是的,因为我无法将它发送到另一个 php 文件?

我应该使用 filter_var 吗?和/或我是否应该在我的变量中使用修剪、stripslashes 或任何东西我发送到表单中?我该怎么做呢?我的理解是

$name = test_input($_POST['createUserName']);
$password = test_input($_POST['passWord']); .. etc

function test_input($data) {
        $data = trim($data);
        $data = stripslashes($data);
        $data = htmlspecialchars($data);
return $data;
}

另外,这是我的插入函数。这是否安全/写入正确?

<?php 
function createAccount($userName, $pw, $confirmPW, $fName, $sName, $email) {
        $sql = "INSERT INTO `room_project`.`user` (`userName`, `pass`, `confirmPW`, `fName`, `sName`, `email`) VALUES (?, ?, ?, ?, ?, ?);";
        $query = $this->connection->prepare($sql);
        $query->execute(Array($userName, $pw, $confirmPW, $fName, $sName, $email));

    }

?>

我非常感谢任何建议!再次请原谅这是初学者的性质:)

【问题讨论】:

标签: php html mysql forms pdo


【解决方案1】:

我已经为您制作了一个示例,供您在发送到服务器之前检查和验证字段。请看一看。 

<script>
function checknull(){
    if(document.getElementById("createUserName").value == ""){
        alert("enter user name");
        return false;
    }

    return true
}
</script>

<form action="createaccount.php" name="form" method="post" onsubmit="return checknull()">

这不是一个完整的例子。让您了解如何通过 javascript 进行空值检查。

【讨论】:

  • 感谢@ShaymolBapary,我正在寻找一种 PHP 验证和清理方法,我有一个类似的 JS 函数来检查字段,只是想知道其他方法。
  • 此问题已明确标记为php。这充其量是对另一个问题的正确答案。
【解决方案2】:

您应该使用PHP regex 来严格验证您的输入数据。

假设您要验证以下输入字段,

  • 用户名
  • 密码
  • 名字
  • 姓氏
  • 电子邮件

那么你会做这样的事情,

if(isset($_POST['submit']) && !empty($_POST['submit'])){

    // use a boolean variable to keep track of errors
    $error = false;

    // Username validation
    $username = trim($_POST['username']);
    $username_pattern = "/^[a-zA-Z0-9]{3,15}$/"; // username should contain only letters and numbers, and length should be between 3 and 15 characters
    if(preg_match($username_pattern, $username)){
        // success
    }else{
        // error
        $error = true;
    }

    // Password validation
    $password = $_POST['password'];
    $confirm_password = $_POST['confirm_password'];
    if(strlen($password) >= 6 && $password===$confirm_password){ // length of the password should be greater than or equal to 6
       // success
    }else{
       // error
       $error = true;
    }

    // First name validation
    $first_name = trim($_POST['first_name']);
    $first_name_pattern = "/^[a-zA-Z]{2,15}$/";
    if(preg_match($first_name_pattern, $first_name)){ // first name should contain only letters and length should be between 2 and 15 characters
        // success
    }else{
        // error
        $error = true;
    }


    // Last name validation
    $last_name = trim($_POST['last_name']);
    $last_name_pattern = "/^[a-zA-Z]{2,15}$/";
    if(preg_match($last_name_pattern, $last_name)){ // last name should contain only letters and length should be between 2 and 15 characters
        // success
    }else{
        // error
        $error = true;
    }

    // Email validation
    $email = trim()
    $email_pattern = "/^([a-z0-9\._\+\-]{3,30})@([a-z0-9\-]{2,30})((\.([a-z]{2,20})){1,3})$/";
    if(preg_match($email_pattern, $email)){ // validate email addresses
        // success
    }else{
        // error
        $error = true;
    }

    if(!$error){
        // all fields are validated. Now do your database operations.
    }else{
        // display error message
    }
}

并使用PDO prepare 来防止您的数据库遭受任何形式的 SQL 注入。

来自 PDO::prepare

为将使用不同参数值多次发出的语句调用 PDO::prepare() 和 PDOStatement::execute() 通过允许驱动程序协商客户端和/或服务器端缓存查询计划和元信息,并且无需手动引用参数,有助于防止 SQL 注入攻击。

【讨论】:

  • 感谢@RajdeepPaul,我会考虑实现这一点。对信息进行消毒呢?我有一个用于我的 SQL 插入的 PDO 语句,目前我在上面发布了它。
  • @joshuaaron,如果你正确使用了PDOStatement,那么你不需要额外的清理来防止SQL注入see this。如果您需要PDO prepare 的其他帮助,请使用see this
  • 是的,亲爱的,再次抱歉 @RajdeepPaul ,但是我在哪里添加这些验证检查以及如何仅在它们都成功时提交?我是否应该将表单运行到另一个页面(就像我一样)运行插入数据库的函数。谢谢。
  • @joshuaaron,请参阅上面的更新代码。如果您认为它对您有所帮助,请接受答案以表达您的感激之情:)
  • @joshuaaron,哎呀,这是因为正则表达式中有多余的空间。我已经更新了上面的代码 sn-p。此外,如果您愿意,可以检查您的正则表达式here。干杯。 :)
猜你喜欢
  • 2015-09-30
  • 2015-01-25
  • 2015-11-30
  • 2014-04-08
  • 1970-01-01
  • 2023-04-05
  • 2015-10-10
  • 2017-07-28
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode