PHP Form Validasi
Catatan Pikirkan SECURITY saat memproses bentuk PHP!
Halaman ini akan menunjukkan bagaimana proses bentuk PHP dengan keamanan dalam pikiran. validasi yang tepat dari bentuk data penting untuk melindungi formulir Anda dari hacker dan spammer!
Bentuk HTML kita akan bekerja di dalam pasal-pasal ini, mengandung berbagai bidang masukan: diperlukan dan bidang opsional teks, tombol radio, dan sebuah tombol submit:
Aturan validasi untuk formulir di atas adalah sebagai berikut:
Bidang Aturan Validasi
Nama (wajib. + Harus hanya berisi huruf dan spasi
E-mail yang disyaratkan. + Harus berisi alamat email yang valid (dengan @ dan.)
Website Opsional. Jika ada, itu harus berisi URL yang valid
Komentar Opsional. bidang input multi-line (textarea)
Jender Diperlukan. Harus pilih salah satu
Pertama kita akan melihat kode HTML untuk form:
Fields teks
Nama, email, dan bidang situs adalah elemen input teks, dan kolom komentar adalah textarea. Kode HTML terlihat seperti ini:
Nama: <input type = "text" name = "nama">
E-mail: <input type = "text" name = "email">
Website: <input type = "text" name = "situs">
Komentar: <textarea name = "comment" rows = "5" cols = "40"> </ textarea>
Tombol radio
Bidang gender tombol radio dan kode HTML terlihat seperti ini:
Jenis kelamin:
<Input type = "radio" name = "gender" value = "perempuan"> Perempuan
<Input type = "radio" name = "gender" value = "laki-laki"> Pria
Formulir Element
Kode HTML formulir terlihat seperti ini:
<Form method = "post" action = "<htmlspecialchars php echo ($ _ SERVER? [" PHP_SELF "]);?>">
Ketika formulir dikirimkan, bentuk data dikirim dengan metode = "post".
Catatan Apa $ _SERVER [ "PHP_SELF"] variabel?
The $ _SERVER [ "PHP_SELF"] adalah variabel global super yang mengembalikan nama file dari script saat ini mengeksekusi.
Jadi, $ _SERVER [ "PHP_SELF"] mengirimkan data formulir diserahkan ke halaman itu sendiri, bukannya melompat ke halaman yang berbeda. Dengan cara ini, pengguna akan mendapatkan pesan error pada halaman yang sama seperti formulir.
Catatan Apa htmlspecialchars () function?
The htmlspecialchars () fungsi mengkonversi karakter khusus untuk entitas HTML. Ini berarti bahwa hal itu akan menggantikan karakter HTML seperti <dan> dengan & lt; dan & gt ;. Hal ini mencegah penyerang dari mengeksploitasi kode dengan menyuntikkan HTML atau kode Javascript (serangan Scripting Cross-site) dalam bentuk.
Big Catatan tentang PHP Form Keamanan
The $ _SERVER [ "PHP_SELF"] variabel dapat digunakan oleh hacker!
Jika PHP_SELF digunakan dalam halaman Anda maka pengguna dapat memasukkan garis miring (/) dan kemudian beberapa Cross Site Scripting (XSS) perintah untuk mengeksekusi.
Catatan Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi Web. XSS memungkinkan penyerang untuk menyuntikkan script sisi klien ke dalam halaman Web dilihat oleh pengguna lain.
Asumsikan kita memiliki bentuk berikut di halaman bernama "test_form.php":
<Form method = "post" action = "<php echo $ _SERVER? [" PHP_SELF "];?>">
Sekarang, jika pengguna memasukkan URL normal pada address bar seperti "http://www.example.com/test_form.php", kode di atas akan diterjemahkan ke:
<Form method = "post" action = "test_form.php">
Sejauh ini bagus.
Namun, mempertimbangkan bahwa pengguna memasukkan URL berikut di address bar:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
Dalam hal ini, kode di atas akan diterjemahkan ke:
<Form method = "post" action = "test_form.php /"> <script> alert ( 'hack') </ script>
Kode ini menambahkan tag script dan perintah peringatan. Dan ketika beban halaman, kode JavaScript akan dieksekusi (pengguna akan melihat kotak peringatan). Ini hanya contoh sederhana dan tidak berbahaya bagaimana variabel PHP_SELF dapat dimanfaatkan.
Menyadari bahwa kode JavaScript dapat ditambahkan dalam tag <script>! Seorang hacker dapat mengarahkan pengguna ke file di server lain, dan file yang dapat menyimpan kode berbahaya yang dapat mengubah variabel global atau mengirimkan formulir ke alamat lain untuk menyimpan data pengguna, misalnya.
Cara Hindari $ _SERVER [ "PHP_SELF"] Eksploitasi?
$ _SERVER [ "PHP_SELF"] eksploitasi dapat dihindari dengan menggunakan () fungsi htmlspecialchars.
Kode bentuk akan terlihat seperti ini:
<Form method = "post" action = "<htmlspecialchars php echo ($ _ SERVER? [" PHP_SELF "]);?>">
The htmlspecialchars () fungsi mengkonversi karakter khusus untuk entitas HTML. Sekarang jika pengguna mencoba untuk mengeksploitasi variabel PHP_SELF, itu akan menghasilkan output sebagai berikut:
<Form method = "post" action = "test_form.php / & quot; & gt; & lt; script yang & gt; alert ( 'hack') & lt; / script & gt;">
Mengeksploitasi upaya gagal, dan tidak ada salahnya dilakukan!
Validasi Form Data Dengan PHP
Hal pertama yang akan kita lakukan adalah untuk lulus semua variabel melalui htmlspecialchars PHP () fungsi.
Ketika kita menggunakan htmlspecialchars () fungsi; maka jika pengguna mencoba untuk menyerahkan berikut dalam bidang teks:
<Script> location.href ( 'http://www.hacked.com') </ script>
- Ini tidak akan dieksekusi, karena itu akan disimpan sebagai HTML lolos kode, seperti ini:
& Lt; script yang & gt; location.href ( 'http://www.hacked.com') & lt; / script & gt;
Kode ini sekarang aman untuk ditampilkan pada halaman atau dalam sebuah e-mail.
Kami juga akan melakukan dua hal lebih ketika pengguna menyerahkan formulir:
Jalur karakter yang tidak perlu (extra space, tab, baris baru) dari data input pengguna (dengan fungsi PHP lis ())
Hapus backslashes (\) dari data input pengguna (dengan stripslashes PHP () fungsi)
Langkah selanjutnya adalah membuat fungsi yang akan melakukan semua pengecekan bagi kita (yang jauh lebih nyaman daripada menulis kode yang sama berulang-ulang).
Kami akan nama fungsi test_input ().
Sekarang, kita dapat memeriksa setiap variabel $ _POST dengan fungsi test_input (), dan script terlihat seperti ini:
Contoh
<? Php
// Mendefinisikan variabel dan diatur ke nilai kosong
$ Nama = $ email = $ jender = $ komentar = $ website = "";
if ($ _SERVER [ "REQUEST_METHOD"] == "POST") {
$ Nama = test_input ($ _ POST [ "nama"]);
$ Email = test_input ($ _ POST [ "email"]);
$ Website = test_input ($ _ POST [ "situs"]);
$ Komentar = test_input ($ _ POST [ "komentar"]);
$ Jender = test_input ($ _ POST [ "gender"]);
}
Fungsi test_input ($ data) {
$ Data = trim ($ data);
$ Data = stripslashes ($ data);
$ Data = htmlspecialchars ($ data);
kembali $ data;
}
?>
Menjalankan contoh »
Perhatikan bahwa pada awal script, kita memeriksa apakah formulir telah disampaikan menggunakan $ _SERVER [ "REQUEST_METHOD"]. Jika REQUEST_METHOD adalah POST, maka formulir telah disampaikan - dan itu harus divalidasi. Jika belum diajukan, melewatkan validasi dan menampilkan formulir kosong.
Namun, dalam contoh di atas, semua bidang input adalah opsional. Script bekerja dengan baik bahkan jika pengguna tidak memasukkan data apapun.
Langkah selanjutnya adalah membuat field input yang dibutuhkan dan membuat pesan kesalahan jika diperlukan.
