1、PHP 表單處理

PHP 超全局變量 $_GET 和 $_POST 用于收集表單數據（form-data）。

1.1 PHP - 一個簡單的 HTML 表單

下面的例子顯示了一個簡單的 HTML 表單，它包含兩個輸入字段和一個提交按鈕：

實例

<html> <body><form action="welcome.php" method="post"> Name: <input type="text" name="name"><br> E-mail: <input type="text" name="email"><br> <input type="submit"> </form></body> </html>

?

當用戶填寫此表單并點擊提交按鈕后，表單數據會發送到名為 "welcome.php" 的 PHP 文件供處理。表單數據是通過 HTTP POST 方法發送的。

如需顯示出被提交的數據，您可以簡單地輸出（echo）所有變量。"welcome.php" 文件是這樣的：

<html> <body>Welcome <?php echo $_POST["name"]; ?><br> Your email address is: <?php echo $_POST["email"]; ?></body> </html>

輸出：

Welcome John Your email address is john.doe@example.com

使用 HTTP GET 方法也能得到相同的結果：

實例

<html> <body><form action="welcome_get.php" method="get"> Name: <input type="text" name="name"><br> E-mail: <input type="text" name="email"><br> <input type="submit"> </form></body> </html>

?

"welcome_get.php" 是這樣的：

<html> <body>Welcome <?php echo $_GET["name"]; ?><br> Your email address is: <?php echo $_GET["email"]; ?></body> </html>

上面的代碼很簡單。不過，最重要的內容被漏掉了。您需要對表單數據進行驗證，以防止腳本出現漏洞。

注意：在處理 PHP 表單時請關注安全！

本頁未包含任何表單驗證程序，它只向我們展示如何發送并接收表單數據。

稍后會講解如何提高 PHP 表單的安全性！對表單適當的安全驗證對于抵御黑客攻擊和垃圾郵件非常重要！

1.2 GET vs. POST

GET 和 POST 都創建數組（例如，array( key => value, key2 => value2, key3 => value3, ...)）。此數組包含鍵/值對，其中的鍵是表單控件的名稱，而值是來自用戶的輸入數據。

GET 和 POST 被視作 $_GET 和 $_POST。它們是超全局變量，這意味著對它們的訪問無需考慮作用域 - 無需任何特殊代碼，您能夠從任何函數、類或文件訪問它們。

$_GET 是通過 URL 參數傳遞到當前腳本的變量數組。

$_POST 是通過 HTTP POST 傳遞到當前腳本的變量數組。

1.3 何時使用 GET？

通過 GET 方法從表單發送的信息對任何人都是可見的（所有變量名和值都顯示在 URL 中）。GET 對所發送信息的數量也有限制。限制在大于 2000 個字符。不過，由于變量顯示在 URL 中，把頁面添加到書簽中也更為方便。

GET 可用于發送非敏感的數據。

注釋：絕不能使用 GET 來發送密碼或其他敏感信息！

1.4 何時使用 POST？

通過 POST 方法從表單發送的信息對其他人是不可見的（所有名稱/值會被嵌入 HTTP 請求的主體中），并且對所發送信息的數量也無限制。

此外 POST 支持高階功能，比如在向服務器上傳文件時進行 multi-part 二進制輸入。

不過，由于變量未顯示在 URL 中，也就無法將頁面添加到書簽。

提示：開發者偏愛 POST 來發送表單數據。

?

2、PHP 表單驗證

2和3介紹如何使用 PHP 來驗證表單數據。

2.1 PHP 表單驗證

提示：在處理 PHP 表單時請重視安全性！

這些頁面將展示如何安全地處理 PHP 表單。對 HTML 表單數據進行適當的驗證對于防范黑客和垃圾郵件很重要！

HTML 表單包含多種輸入字段：必需和可選的文本字段、單選按鈕以及提交按鈕：

有一表單使用如下驗證規則：

字段	驗證規則
Name	必需。必須包含字母和空格。
E-mail	必需。必須包含有效的電子郵件地址（包含 @ 和 .）。
Website	可選。如果選填，則必須包含有效的 URL。
Comment	可選。多行輸入字段（文本框）。
Gender	必需。必須選擇一項。

先看看這個表單的純 HTML 代碼：

2.2 文本字段

name、email 和 website 屬于文本輸入元素，comment 字段是文本框。HTML 代碼是這樣的：

Name: <input type="text" name="name"> E-mail: <input type="text" name="email"> Website: <input type="text" name="website"> Comment: <textarea name="comment" rows="5" cols="40"></textarea>

2.3 單選按鈕

gender 字段是單選按鈕，HTML 代碼是這樣的：

Gender: <input type="radio" name="gender" value="female">Female <input type="radio" name="gender" value="male">Male

2.4 表單元素

表單的 HTML 代碼是這樣的：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

當提交此表單時，通過 method="post" 發送表單數據。

什么是 $_SERVER["PHP_SELF"] 變量？

$_SERVER["PHP_SELF"] 是一種超全局變量，它返回當前執行腳本的文件名。

因此，$_SERVER["PHP_SELF"] 將表單數據發送到頁面本身，而不是跳轉到另一張頁面。這樣，用戶就能夠在表單頁面獲得錯誤提示信息。

什么是 htmlspecialchars() 函數？

htmlspecialchars() 函數把特殊字符轉換為 HTML 實體。這意味著 < 和 > 之類的 HTML 字符會被替換為 &lt; 和 &gt; 。這樣可防止攻擊者通過在表單中注入 HTML 或 JavaScript 代碼（跨站點腳本攻擊）對代碼進行利用。

2.5 關于 PHP 表單安全性的重要提示

$_SERVER["PHP_SELF"] 變量能夠被黑客利用！

如果頁面使用了 PHP_SELF，用戶能夠輸入下劃線然后執行跨站點腳本（XSS）。

提示：跨站點腳本（Cross-site scripting，XSS）是一種計算機安全漏洞類型，常見于 Web 應用程序。XSS 能夠使攻擊者向其他用戶瀏覽的網頁中輸入客戶端腳本。

假設我們的一張名為 "test_form.php" 的頁面中有如下表單：

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

現在，如果用戶進入的是地址欄中正常的 URL："http://www.example.com/test_form.php"，上面的代碼會轉換為：

<form method="post" action="test_form.php">

到目前，一切正常。

不過，如果用戶在地址欄中鍵入了如下 URL：

http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

在這種情況下，上面的代碼會轉換為：

<form method="post" action="test_form.php"/><script>alert('hacked')</script>

這段代碼加入了一段腳本和一個提示命令。并且當此頁面加載后，就會執行 JavaScript 代碼（用戶會看到一個提示框）。這僅僅是一個關于 PHP_SELF 變量如何被利用的簡單無害案例。

您應該意識到 <script> 標簽內能夠添加任何 JavaScript 代碼！黑客能夠把用戶重定向到另一臺服務器上的某個文件，該文件中的惡意代碼能夠更改全局變量或將表單提交到其他地址以保存用戶數據，等等。

2.6 如果避免 $_SERVER["PHP_SELF"] 被利用？

通過使用 htmlspecialchars() 函數能夠避免 $_SERVER["PHP_SELF"] 被利用。

表單代碼是這樣的：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars() 函數把特殊字符轉換為 HTML 實體。現在，如果用戶試圖利用 PHP_SELF 變量，會導致如下輸出：

<form method="post" action="test_form.php/"><script>alert('hacked')</script>">

無法利用，沒有危害！

2.7 通過 PHP 驗證表單數據

我們要做的第一件事是通過 PHP 的 htmlspecialchars() 函數傳遞所有變量。

在我們使用 htmlspecialchars() 函數后，如果用戶試圖在文本字段中提交以下內容：

<script>location.href('http://www.hacked.com')</script>

- 代碼不會執行，因為會被保存為轉義代碼，就像這樣：

&lt;script&gt;location.href('http://www.hacked.com')&lt;/script&gt;

現在這條代碼顯示在頁面上或 e-mail 中是安全的。

在用戶提交該表單時，我們還要做兩件事：

（通過 PHP trim() 函數）去除用戶輸入數據中不必要的字符（多余的空格、制表符、換行）

（通過 PHP stripslashes() 函數）刪除用戶輸入數據中的反斜杠（\）

接下來我們創建一個檢查函數（相比一遍遍地寫代碼，這樣效率更好）。

我們把函數命名為 test_input()。

現在，我們能夠通過 test_input() 函數檢查每個 $_POST 變量，腳本是這樣的：

實例

<!DOCTYPE HTML> <html> <head> </head> <body> <?php // define variables and set to empty values $name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") {$name = test_input($_POST["name"]);$email = test_input($_POST["email"]);$website = test_input($_POST["website"]);$comment = test_input($_POST["comment"]);$gender = test_input($_POST["gender"]); }function test_input($data) {$data = trim($data);$data = stripslashes($data);$data = htmlspecialchars($data);return $data; } ?><h2>PHP 驗證實例</h2> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 姓名：<input type="text" name="name"><br><br>電郵：<input type="text" name="email"><br><br>網址：<input type="text" name="website"><br><br>評論：<textarea name="comment" rows="5" cols="40"></textarea><br><br>性別：<input type="radio" name="gender" value="female">女性<input type="radio" name="gender" value="male">男性<br><br><input type="submit" name="submit" value="提交"> </form><?php echo "<h2>您的輸入：</h2>"; echo $name; echo "<br>"; echo $email; echo "<br>"; echo $website; echo "<br>"; echo $comment; echo "<br>"; echo $gender; ?></body> </html>

?

請注意在腳本開頭，我們檢查表單是否使用 $_SERVER["REQUEST_METHOD"] 進行提交。如果 REQUEST_METHOD 是 POST，那么表單已被提交 - 并且應該對其進行驗證。如果未提交，則跳過驗證并顯示一個空白表單。

不過，在上面的例子中，所有輸入字段都是可選的。即使用戶未輸入任何數據，腳本也能正常工作。

下一步是制作必填輸入字段，并創建需要時使用的錯誤消息。

?

3、PHP 表單驗證 - 必填字段

介紹如何制作必填輸入字段，并創建需要時所用的錯誤消息。

3.1 PHP - 輸入字段

從前面的驗證規則中，我們看到 "Name", "E-mail" 以及 "Gender" 字段是必需的。這些字段不能為空且必須在 HTML 表單中填寫。

字段	驗證規則
Name	必需。必須包含字母和空格。
E-mail	必需。必須包含有效的電子郵件地址（包含 @ 和 .）。
Website	可選。如果選填，則必須包含有效的 URL。
Comment	可選。多行輸入字段（文本框）。
Gender	必需。必須選擇一項。

前面介紹，所有輸入字段都是可選的。

在下面的代碼中我們增加了一些新變量：$nameErr、$emailErr、$genderErr 以及 $websiteErr。這些錯誤變量會保存被請求字段的錯誤消息。我們還為每個 $_POST 變量添加了一個 if else 語句。這條語句檢查 $_POST 變量是否為空（通過 PHP empty() 函數）。如果為空，則錯誤消息會存儲于不同的錯誤變量中。如果不為空，則通過 test_input() 函數發送用戶輸入數據：

<?php // 定義變量并設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") {if (empty($_POST["name"])) {$nameErr = "Name is required";} else {$name = test_input($_POST["name"]);}if (empty($_POST["email"])) {$emailErr = "Email is required";} else {$email = test_input($_POST["email"]);}if (empty($_POST["website"])) {$website = "";} else {$website = test_input($_POST["website"]);}if (empty($_POST["comment"])) {$comment = "";} else {$comment = test_input($_POST["comment"]);}if (empty($_POST["gender"])) {$genderErr = "Gender is required";} else {$gender = test_input($_POST["gender"]);} } ?>

3.2 PHP - 顯示錯誤消息

在 HTML 表單中，我們在每個被請求字段后面增加了一點腳本。如果需要，會生成恰當的錯誤消息（如果用戶未填寫必填字段就試圖提交表單）：

實例

<!DOCTYPE HTML> <html> <head> <style> .error {color: #FF0000;} </style> </head> <body> <?php // 定義變量并設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") {if (empty($_POST["name"])) {$nameErr = "姓名是必填的";} else {$name = test_input($_POST["name"]);}if (empty($_POST["email"])) {$emailErr = "電郵是必填的";} else {$email = test_input($_POST["email"]);}if (empty($_POST["website"])) {$website = "";} else {$website = test_input($_POST["website"]);}if (empty($_POST["comment"])) {$comment = "";} else {$comment = test_input($_POST["comment"]);}if (empty($_POST["gender"])) {$genderErr = "性別是必選的";} else {$gender = test_input($_POST["gender"]);} }function test_input($data) {$data = trim($data);$data = stripslashes($data);$data = htmlspecialchars($data);return $data; } ?><h2>PHP 驗證實例</h2> <p><span class="error">* 必需的字段</span></p> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 姓名：<input type="text" name="name"><span class="error">* <?php echo $nameErr;?></span><br><br>電郵：<input type="text" name="email"><span class="error">* <?php echo $emailErr;?></span><br><br>網址：<input type="text" name="website"><span class="error"><?php echo $websiteErr;?></span><br><br>評論：<textarea name="comment" rows="5" cols="40"></textarea><br><br>性別：<input type="radio" name="gender" value="female">女性<input type="radio" name="gender" value="male">男性<span class="error">* <?php echo $genderErr;?></span><br><br><input type="submit" name="submit" value="提交"> </form><?php echo "<h2>您的輸入：</h2>"; echo $name; echo "<br>"; echo $email; echo "<br>"; echo $website; echo "<br>"; echo $comment; echo "<br>"; echo $gender; ?></body> </html>

?

接下來是驗證輸入數據，即“Name 字段是否只包含字母和空格？”，以及“E-mail 字段是否包含有效的電子郵件地址語法？”，并且如果填寫了 Website 字段，“這個字段是否包含了有效的 URL？”。

?

?

4、PHP 表單驗證 - 驗證 E-mail 和 URL

下面介紹如何驗證名字、電郵和 URL。

4.1 PHP - 驗證名字

以下代碼展示的簡單方法檢查 name 字段是否包含字母和空格。如果 name 字段無效，則存儲一條錯誤消息：

$name = test_input($_POST["name"]); if (!preg_match("/^[a-zA-Z ]*$/",$name)) {$nameErr = "只允許字母和空格！"; }

注釋：preg_match() 函數檢索字符串的模式，如果模式存在則返回 true，否則返回 false。

4.2 PHP - 驗證 E-mail

以下代碼展示的簡單方法檢查 e-mail 地址語法是否有效。如果無效則存儲一條錯誤消息：

$email = test_input($_POST["email"]); if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {$emailErr = "無效的 email 格式！"; }

4.3 PHP - 驗證 URL

以下代碼展示的方法檢查 URL 地址語法是否有效（這條正則表達式同時允許 URL 中的斜杠）。如果 URL 地址語法無效，則存儲一條錯誤消息：

$website = test_input($_POST["website"]); if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/% =~_|]/i",$website)) {$websiteErr = "無效的 URL"; }

4.4 PHP - 驗證 Name、E-mail、以及 URL

現在，腳本是這樣的：

實例

<!DOCTYPE HTML> <html> <head> <style> .error {color: #FF0000;} </style> </head> <body> <?php // 定義變量并設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") {if (empty($_POST["name"])) {$nameErr = "姓名是必填的";} else {$name = test_input($_POST["name"]);// 檢查姓名是否包含字母和空白字符if (!preg_match("/^[a-zA-Z ]*$/",$name)) {$nameErr = "只允許字母和空格"; }}if (empty($_POST["email"])) {$emailErr = "電郵是必填的";} else {$email = test_input($_POST["email"]);// 檢查電子郵件地址語法是否有效if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {$emailErr = "無效的 email 格式"; }}if (empty($_POST["website"])) {$website = "";} else {$website = test_input($_POST["website"]);// 檢查 URL 地址語法是否有效（正則表達式也允許 URL 中的斜杠）if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) {$websiteErr = "無效的 URL"; }}if (empty($_POST["comment"])) {$comment = "";} else {$comment = test_input($_POST["comment"]);}if (empty($_POST["gender"])) {$genderErr = "性別是必選的";} else {$gender = test_input($_POST["gender"]);} }function test_input($data) {$data = trim($data);$data = stripslashes($data);$data = htmlspecialchars($data);return $data; } ?><h2>PHP 驗證實例</h2> <p><span class="error">* 必需的字段</span></p> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 姓名：<input type="text" name="name"><span class="error">* <?php echo $nameErr;?></span><br><br>電郵：<input type="text" name="email"><span class="error">* <?php echo $emailErr;?></span><br><br>網址：<input type="text" name="website"><span class="error"><?php echo $websiteErr;?></span><br><br>評論：<textarea name="comment" rows="5" cols="40"></textarea><br><br>性別：<input type="radio" name="gender" value="female">女性<input type="radio" name="gender" value="male">男性<span class="error">* <?php echo $genderErr;?></span><br><br><input type="submit" name="submit" value="提交"> </form><?php echo "<h2>您的輸入：</h2>"; echo $name; echo "<br>"; echo $email; echo "<br>"; echo $website; echo "<br>"; echo $comment; echo "<br>"; echo $gender; ?></body> </html>

?

5、PHP 表單驗證 - 完成表單實例

下面介紹如何在用戶提交表單后保留輸入字段中的值。

5.1 PHP - 保留表單中的值

如需在用戶點擊提交按鈕后在輸入字段中顯示值，我們在以下輸入字段的 value 屬性中增加了一小段 PHP 腳本：name、email 以及 website。在 comment 文本框字段中，我們把腳本放到了 <textarea> 與 </textarea> 之間。這些腳本輸出 $name、$email、$website 和 $comment 變量的值。

然后，我們還需要顯示選中了哪個單選按鈕。對此，我們必須操作 checked 屬性（而非單選按鈕的 value 屬性）：

Name: <input type="text" name="name" value="<?php echo $name;?>">E-mail: <input type="text" name="email" value="<?php echo $email;?>">Website: <input type="text" name="website" value="<?php echo $website;?>">Comment: <textarea name="comment" rows="5" cols="40"><?php echo $comment;?></textarea>Gender:<input type="radio" name="gender" <?php if (isset($gender) && $gender=="female") echo "checked";?> value="female">Female <input type="radio" name="gender" <?php if (isset($gender) && $gender=="male") echo "checked";?> value="male">Male

5.2 PHP - 完整的表單實例

下面是 PHP 表單驗證實例的完整代碼：

?

<!DOCTYPE HTML> <html> <head> <style> .error {color: #FF0000;} </style> </head> <body> <?php // 定義變量并設置為空值 $nameErr = $emailErr = $genderErr = $websiteErr = ""; $name = $email = $gender = $comment = $website = "";if ($_SERVER["REQUEST_METHOD"] == "POST") {if (empty($_POST["name"])) {$nameErr = "姓名是必填的";} else {$name = test_input($_POST["name"]);// 檢查姓名是否包含字母和空白字符if (!preg_match("/^[a-zA-Z ]*$/",$name)) {$nameErr = "只允許字母和空格"; }}if (empty($_POST["email"])) {$emailErr = "電郵是必填的";} else {$email = test_input($_POST["email"]);// 檢查電子郵件地址語法是否有效if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {$emailErr = "無效的 email 格式"; }}if (empty($_POST["website"])) {$website = "";} else {$website = test_input($_POST["website"]);// 檢查 URL 地址語法是否有效（正則表達式也允許 URL 中的斜杠）if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) {$websiteErr = "無效的 URL"; }}if (empty($_POST["comment"])) {$comment = "";} else {$comment = test_input($_POST["comment"]);}if (empty($_POST["gender"])) {$genderErr = "性別是必選的";} else {$gender = test_input($_POST["gender"]);} }function test_input($data) {$data = trim($data);$data = stripslashes($data);$data = htmlspecialchars($data);return $data; } ?><h2>PHP 驗證實例</h2> <p><span class="error">* 必需的字段</span></p> <form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 姓名：<input type="text" name="name"><span class="error">* <?php echo $nameErr;?></span><br><br>電郵：<input type="text" name="email"><span class="error">* <?php echo $emailErr;?></span><br><br>網址：<input type="text" name="website"><span class="error"><?php echo $websiteErr;?></span><br><br>評論：<textarea name="comment" rows="5" cols="40"></textarea><br><br>性別：<input type="radio" name="gender" value="female">女性<input type="radio" name="gender" value="male">男性<span class="error">* <?php echo $genderErr;?></span><br><br><input type="submit" name="submit" value="提交"> </form><?php echo "<h2>您的輸入：</h2>"; echo $name; echo "<br>"; echo $email; echo "<br>"; echo $website; echo "<br>"; echo $comment; echo "<br>"; echo $gender; ?></body> </html>

總結

以上是生活随笔為你收集整理的Php表单的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。