НАЙКРАЩИЙ САЙТ ДЛЯ ВЕБ-РОЗРОБНИКІВ
HTML CSS JAVASCRIPT SQL PYTHON PHP BOOTSTRAP ЯК ЗРОБИТИ W3.CSS JQUERY XML JAVA GO БІЛЬШЕ 🔍 КНИГИ ДОВІДНИКИ ВПРАВИ

PHP Підручник

PHP СТАРТ PHP Інтро PHP Встановлення PHP Синтаксис PHP Коментарі PHP Змінні
Змінні Область дії змінних
PHP Echo / Print PHP Типи даних PHP Рядки PHP Числа PHP Математика PHP Константи PHP Оператори PHP If...Else...Elseif PHP Switch PHP Цикли
Цикли Цикл While Цикл Do While Цикл For Цикл Foreach Break/Continue
PHP Функції PHP Масиви
Масиви Індексовані масиви Асоціативні масиви Багатовимірні масиви Сортування масивів
PHP Суперглобали
Суперглобали $GLOBALS $_SERVER $_REQUEST $_POST $_GET
PHP RegEx

PHP Форми

PHP Обробка форми PHP Перевірка форми PHP Обов'язкові поля форми PHP Форма URL/E-mail PHP Заповнення форми

PHP Розширений

PHP Дата і час PHP Підключення файлів PHP Обробка файлів PHP Файл відкрити/читати PHP Файл створити/записати PHP Файл Завантажити PHP Кукі PHP Сесії PHP Фільтри PHP Розширені фільтри PHP Callback функції PHP JSON PHP Винятки

PHP ООП

PHP Що таке ООП PHP класи/об'єкти PHP Конструктор PHP Деструктор PHP Модифікатори доступу PHP Спадкування PHP Константи PHP Абстрактні класи PHP Інтерфейси PHP Трейти PHP Статичні методи PHP Статичні властивості PHP Простори імен PHP Ітерабелі

MySQL База даних

MySQL База даних MySQL Підключення MySQL Створити БД MySQL Створити таблиці MySQL Вставити дані MySQL Отримати останній ID MySQL Вставити кілька записів MySQL Підготовлені інструкції MySQL Вибрати дані MySQL Where MySQL Order By MySQL Видалення даних MySQL Оновлення даних MySQL Обмеження даних

PHP XML

PHP XML Парсери PHP SimpleXML Парсер PHP SimpleXML - Get PHP XML Expat PHP XML DOM

PHP - AJAX

AJAX Інтро AJAX PHP AJAX База даних AJAX XML AJAX Живий пошук AJAX Опитування

PHP Приклади

PHP Приклади PHP Компілятор PHP Вікторина PHP Вправи PHP Сертифікат

PHP Довідник

PHP Огляд PHP Масив
array() array_change_key_case() array_chunk() array_column() array_combine() array_count_values() array_diff() array_diff_assoc() array_diff_key() array_diff_uassoc() array_diff_ukey() array_fill() array_fill_keys() array_filter() array_flip() array_intersect() array_intersect_assoc() array_intersect_key() array_intersect_uassoc() array_intersect_ukey() array_key_exists() array_keys() array_map() array_merge() array_merge_recursive() array_multisort() array_pad() array_pop() array_product() array_push() array_rand() array_reduce() array_replace() array_replace_recursive() array_reverse() array_search() array_shift() array_slice() array_splice() array_sum() array_udiff() array_udiff_assoc() array_udiff_uassoc() array_uintersect() array_uintersect_assoc() array_uintersect_uassoc() array_unique() array_unshift() array_values() array_walk() array_walk_recursive() arsort() asort() compact() count() current() each() end() extract() in_array() key() krsort() ksort() list() natcasesort() natsort() next() pos() prev() range() reset() rsort() shuffle() sizeof() sort() uasort() uksort() usort()
PHP Календар
cal_days_in_month() cal_from_jd() cal_info() cal_to_jd() easter_date() easter_days() frenchtojd() gregoriantojd() jddayofweek() jdmonthname() jdtofrench() jdtogregorian() jdtojewish() jdtojulian() jdtounix() jewishtojd() juliantojd() unixtojd()
PHP Дата
checkdate() date_add() date_create_from_format() date_create() date_date_set() date_default_timezone_get() date_default_timezone_set() date_diff() date_format() date_get_last_errors() date_interval_create_from_date_string() date_interval_format() date_isodate_set() date_modify() date_offset_get() date_parse_from_format() date_parse() date_sub() date_sun_info() date_sunrise() date_sunset() date_time_set() date_timestamp_get() date_timestamp_set() date_timezone_get() date_timezone_set() date() getdate() gettimeofday() gmdate() gmmktime() gmstrftimee() idate() localtime() microtime() mktime() strftime() strptime() strtotime() time() timezone_abbreviations_list() timezone_identifiers_list() timezone_location_get() timezone_name_from_abbr() timezone_name_get() timezone_offset_get() timezone_open() timezone_transitions_get() timezone_version_get()
PHP Каталог
chdir() chroot() closedir() dir() getcwd() opendir() readdir() rewinddir() scandir()
PHP Помилка
debug_backtrace() debug_print_backtrace() error_get_last() error_log() error_reporting() restore_error_handler() restore_exception_handler() set_error_handler() set_exception_handler() trigger_error()
PHP Виняток
Exception() getCode() getFile() getMessage() getLine() getPrevious() getTrace() getTraceAsString()
PHP Файлова система
basename() chgrp() chmod() chown() clearstatcache() copy() delete() dirname() disk_free_space() disk_total_space() diskfreespace() fclose() feof() fflush() fgetc() fgetcsv() fgets() fgetss() file() file_exists() file_get_contents() file_put_contents() fileatime() filectime() filegroup() fileinode() filemtime() fileowner() fileperms() filesize() filetype() flock() fnmatch() fopen() fpassthru() fputcsv() fputs() fread() fscanf() fseek() fstat() ftell() ftruncate() fwrite() glob() is_dir() is_executable() is_file() is_link() is_readable() is_uploaded_file() is_writable() is_writeable() lchgrp() lchown() link() linkinfo() lstat() mkdir() move_uploaded_file() parse_ini_file() parse_ini_string() pathinfo() pclose() popen() readfile() readlink() realpath() realpath_cache_get() realpath_cache_size() rename() rewind() rmdir() set_file_buffer() stat() symlink() tempnam() tmpfile() touch() umask() unlink()
PHP Фільтр
filter_has_var() filter_id() filter_input() filter_input_array() filter_list() filter_var() filter_var_array()
PHP FTP
ftp_alloc() ftp_cdup() ftp_chdir() ftp_chmod() ftp_close() ftp_connect() ftp_delete() ftp_exec() ftp_fget() ftp_fput() ftp_get() ftp_get_option() ftp_login() ftp_mdtm() ftp_mkdir() ftp_mlsd() ftp_nb_continue() ftp_nb_fget() ftp_nb_fput() ftp_nb_get() ftp_nb_put() ftp_nlist() ftp_pasv() ftp_put() ftp_pwd() ftp_quit() ftp_raw() ftp_rawlist() ftp_rename() ftp_rmdir() ftp_set_option() ftp_site() ftp_size() ftp_ssl_connect() ftp_systype()
PHP JSON
json_decode() json_encode()
PHP Ключові слова
abstract and as break callable case catch class clone const continue declare default do echo else elseif empty enddeclare endfor endforeach endif endswitch extends final finally fn for foreach function global if implements include include_once instanceof insteadof interface isset list namespace new or print private protected public require require_once return static switch throw trait try use var while xor yield yield from
PHP Libxml
libxml_clear_errors() libxml_disable_entity_loader() libxml_get_errors() libxml_get_last_error() libxml_set_external_entity_loader() libxml_set_streams_context() libxml_use_internal_errors()
PHP Пошта
ezmlm_hash() mail()
PHP Математика
abs() acos() acosh() asin() asinh() atan() atan2() atanh() base_convert() bindec() ceil() cos() cosh() decbin() dechex() decoct() deg2rad() exp() expm1() floor() fmod() getrandmax() hexdec() hypot() intdiv() is_finite() is_infinite() is_nan() lcg_value() log() log10() log1p() max() min() mt_getrandmax() mt_rand() mt_srand() octdec() pi() pow() rad2deg() rand() round() sin() sinh() sqrt() srand() tan() tanh()
PHP Різне
connection_aborted() connection_status() connection_timeout() constant() define() defined() die() eval() exit() get_browser() __halt_compiler() highlight_file() highlight_string() hrtime() ignore_user_abort() pack() php_strip_whitespace() show_source() sleep() sys_getloadavg() time_nanosleep() time_sleep_until() uniqid() unpack() usleep()
PHP MySQLi
affected_rows autocommit change_user character_set_name close commit connect connect_errno connect_error data_seek debug dump_debug_info errno error error_list fetch_all fetch_array fetch_assoc fetch_field fetch_field_direct fetch_fields fetch_lengths fetch_object fetch_row field_count field_seek get_charset get_client_info get_client_stats get_client_version get_connection_stats get_host_info get_proto_info get_server_info get_server_version info init insert_id kill more_results multi_query next_result options ping poll prepare query real_connect real_escape_string real_query reap_async_query refresh rollback select_db set_charset set_local_infile_handler sqlstate ssl_set stat stmt_init thread_id thread_safe use_result warning_count
PHP Мережа
checkdnsrr() closelog() dns_check_record() dns_get_mx() dns_get_record() fsockopen() gethostbyaddr() gethostbyname() gethostbynamel() gethostname() getmxrr() getprotobyname() getprotobynumber() getservbyname() getservbyport() header_register_callback() header_remove() header() headers_list() headers_sent() http_response_code() inet_ntop() inet_pton() ip2long() long2ip() openlog() pfsockopen() setcookie() setrawcookie() socket_get_status() socket_set_blocking() socket_set_timeout() syslog()
PHP Output Control
flush() ob_clean() ob_end_clean() ob_end_flush() ob_flush() ob_get_clean() ob_get_contents() ob_get_flush() ob_get_length() ob_get_level() ob_gzhandler() ob_implicit_flush() ob_list_handlers() ob_start() output_add_rewrite_var() output_reset_rewrite_vars()
PHP RegEx
preg_filter() preg_grep() preg_last_error() preg_match() preg_match_all() preg_replace preg_replace_callback preg_replace_callback_array preg_split preg_quote
PHP SimpleXML
__construct() __tostring() addAttribute() addChild() asXML() attributes() children() count() getDocNamespaces() getName() getNamespaces() registerXPathNamespace() saveXML() simplexml_import_dom() simplexml_load_file() simplexml_load_string() xpath()
current() getchildren() haschildren() key() next() rewind() valid()
PHP Потік PHP Рядок
addcslashes() addslashes() bin2hex() chop() chr() chunk_split() convert_cyr_string() convert_uudecode() convert_uuencode() count_chars() crc32() crypt() echo() explode() fprint() get_html_translation_table() hebrev() hebrevc() hex2bin() html_entity_decode() htmlentities() htmlspecialchars_decode() htmlspecialchars() implode() join() lcfirst() levenshtein() localeconv() ltrim() md5() md5_file() metaphone() money_format() nl_langinfo() nl2br() number_format() ord() parse_str() print() printf() quoted_printable_decode() quoted_printable_encode() quotemeta() rtrim() setlocale() sha1() sha1_file() similar_text() soundex() sprintf() sscanf() str_getcsv() str_ireplace() str_pad() str_repeat() str_replace() str_rot13() str_shuffle() str_split() str_word_count() strcasecmp() strchr() strcmp() strcoll() strcspn() strip_tags() stripcslashes() stripslashes() stripos() stristr() strlen() strnatcasecmp() strnatcmp() strncasecmp() strncmp() strpbrk() strpos() strrchr() strrev() strripos() strrpos() strspn() strstr() strtok() strtolower() strtoupper() strtr() substr() substr_compare() substr_count() substr_replace() trim() ucfirst() ucwords() vfprintf() vprintf() vsprintf() wordwrap()
PHP Обробка змінних
boolval() debug_zval_dump() doubleval() is_countable() empty() floatval() get_defined_vars() get_resource_type() gettype() intval() is_array() is_bool() is_callable() is_double() is_float() is_int() is_integer() is_iterable() is_long() is_null() is_numeric() is_object() is_real() is_resource() is_scalar() is_string() isset() print_r() serialize() settype() strval() unserialize() unset() var_dump() var_export()
PHP XML Парсер
utf8_decode() utf8_encode() xml_error_string() xml_get_current_byte_index() xml_get_current_column_number() xml_get_current_line_number() xml_get_error_code() xml_parse() xml_parse_into_struct() xml_parser_create_ns() xml_parser_create() xml_parser_free() xml_parser_get_option() xml_parser_set_option() xml_set_character_data_handler() xml_set_default_handler() xml_set_element_handler() xml_set_end_namespace_decl_handler() xml_set_external_entity_ref_handler() xml_set_notation_decl_handler() xml_set_object() xml_set_processing_instruction_handler() xml_set_start_namespace_decl_handler() xml_set_unparsed_entity_decl_handler()
PHP Zip
zip_close() zip_entry_close() zip_entry_compressedsize() zip_entry_compressionmethod() zip_entry_filesize() zip_entry_name() zip_entry_open() zip_entry_read() zip_open() zip_read()
PHP Часові пояси

PHP. W3Schools українською. Уроки для початківців

En

PHP Перевірка форми

❮ Prev Next ❯

Цей і наступні розділи показують, як використовувати PHP для перевірки даних форми.

PHP Перевірка форми

Думайте про БЕЗПЕКУ під час обробки PHP-форм!

На цих сторінках буде показано, як обробляти форми PHP з урахуванням безпеки. Належна перевірка даних форми важлива для захисту вашої форми від хакерів і спамерів!

HTML-форма, над якою ми працюватимемо в цих розділах, містить різні поля введення: обов’язкові та необов’язкові текстові поля, перемикачі та кнопку надсилання:

Правила перевірки для форми вище є такими:

Поле Правила перевірки
Ім’я Обов’язково. + Має містити лише літери та пробіли
E-mail Обов’язково. + Має містити дійсну електронну адресу (з @ та .)
Вебсайт Не обов’язково. Якщо він присутній, він має містити дійсну URL-адресу
Коментар Не обов’язково. Багаторядкове поле введення (textarea)
Стать Обов’язково. Потрібно вибрати один варіант

Спочатку ми розглянемо звичайний HTML-код для форми:

Текстові поля

Поля імені, електронної пошти та вебсайту є елементами введення тексту, а поле коментаря є текстовим полем. HTML-код виглядає так:

Ім’я: <input type="text" name="name">
E-mail: <input type="text" name="email">
Вебсайт: <input type="text" name="website">
Коментар: <textarea name="comment" rows="5" cols="40"></textarea>

Радіо кнопки

Поля статі є перемикачами, а HTML-код виглядає так:

Стать:
<input type="radio" name="gender" value="female">Жінка
<input type="radio" name="gender" value="male">Чоловік
<input type="radio" name="gender" value="other">Щось середнє

Елементи форми

HTML-код форми виглядає так:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

Коли форма надсилається, дані форми надсилаються за допомогою method="post".

Що таке змінна $_SERVER["PHP_SELF"]?

$_SERVER["PHP_SELF"] — це суперглобальна змінна, яка повертає ім’я файлу скрипту, що зараз виконується.

Отже, $_SERVER["PHP_SELF"] надсилає надіслані дані форми на саму сторінку, замість переходу на іншу сторінку. Таким чином, користувач отримуватиме повідомлення про помилки на тій же сторінці, що й форма.

Що таке функція htmlspecialchars()?

Функція htmlspecialchars() перетворює спеціальні символи на об’єкти HTML. Це означає, що він замінить такі символи HTML, як < та > з &lt; та &gt;. Це запобігає зловмисникам від використання коду, вставляючи код HTML або Javascript (атаки міжсайтового скриптінгу) у форми.

Важлива примітка щодо безпеки форм PHP

Змінна $_SERVER["PHP_SELF"] може бути використана хакерами!

Якщо на вашій сторінці використовується PHP_SELF, то користувач може ввести слеш (/) і потім якусь команду кроссайтового скриптингу (XSS) для виконання.

Cross-site scripting / Кроссайтовий скриптинг (XSS) - це тип вразливості комп’ютерної безпеки, як правило, зустрічається у вебдодатках. XSS дозволяє зловмисникам вводити скрипт на стороні клієнта на вебсторінки, які переглядаються іншими користувачами.

Припустимо, у нас є така форма на сторінці "test_form.php":

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

Тепер, якщо користувач вводить звичайну URL-адресу в адресному рядку, наприклад, "https://www.example.com/test_form.php", наведений вище код буде перекладений на:

<form method="post" action="test_form.php">

Поки що все добре.

Однак, подумайте, що користувач вводить наступну URL-адресу в адресному рядку:

https://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

У цьому випадку наведений вище код буде перекладений на:

<form method="post" action="test_form.php/"><script>alert('hacked')</script>

Цей код додає тег script та команду alert (оповіщення). І коли сторінка завантажується, код JavaScript буде виконаний (користувач побачить поле оповіщення). Це просто простий і нешкідливий приклад того, як можна використовувати змінну PHP_SELF.

Будьте в курсі того, що будь-який JavaScript код можна додати всередині тегу <script>! Хакер може перенаправити користувача на файл на іншому сервері, і цей файл може містити шкідливий код, який може змінити глобальні змінні або подати форму на іншу адресу, щоб зберегти дані користувача, наприклад.

Круто, еге ж?

Як уникнути експлуатації $_SERVER["PHP_SELF"]?

Експлуатацію $_SERVER["PHP_SELF"] можна уникнути за допомогою функції htmlspecialchars().

Код форми повинен виглядати так:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

Функція htmlspecialchars() перетворює спеціальні символи в об’єкти HTML. Тепер, якщо користувач намагається використовувати змінну PHP_SELF, це призведе до наступного виведення:

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

Спроба експлуатації не вдається, і ніякої шкоди не робиться!

Перевірити дані форми за допомогою PHP

Перше, що ми зробимо, це передамо всі змінні через PHP функцію htmlspecialchars().

Коли ми використовуємо функцію htmlspecialchars(); тоді, якщо користувач намагається надіслати наступне в текстове поле:

<script>location.href('https://www.hacked.com')</script>

- це не буде виконано, оскільки буде збережено як екранований код HTML, як це:

&lt;script&gt;location.href('https://www.hacked.com')&lt;/script&gt;

Тепер код можна безпечно відображати на сторінці або в електронному листі.

Ми також зробимо ще дві речі, коли користувач надішле форму:

  1. Видаліть непотрібні символи (зайвий пробіл, табуляцію, новий рядок) із введених користувачем даних (за допомогою PHP функції trim())
  2. Видаліть зворотні косі риски (\) із введених користувачем даних (за допомогою PHP функції stripslashes())

Наступним кроком є створення функції, яка виконуватиме всю перевірку за нас (що набагато зручніше, ніж писати той самий код знову і знову).

Ми назвемо функцію test_input().

Тепер ми можемо перевірити кожну змінну $_POST за допомогою функції test_input(), і скрипт буде виглядати так:

Приклад

<?php
// визначте змінні та встановіть порожні значення
$name = $email = $gender = $comment = $website = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
  $name = test_input($_POST["name"]);
  $email = test_input($_POST["email"]);
  $website = test_input($_POST["website"]);
  $comment = test_input($_POST["comment"]);
  $gender = test_input($_POST["gender"]);
}

function test_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}
?>
Виконати приклад »

Зауважте, що на початку скрипту ми перевіряємо, чи надіслано форму за допомогою $_SERVER["REQUEST_METHOD"]. Якщо REQUEST_METHOD має значення POST, це означає, що форму надіслано, і її потрібно перевірити. Якщо його не було надіслано, пропустіть перевірку та відобразіть порожню форму.

Однак у наведеному вище прикладі всі поля введення необов’язкові. Скрипт працює нормально, навіть якщо користувач не вводить жодних даних.

Наступним кроком буде зробити поля введення обов’язковими та за потреби створити повідомлення про помилки.

❮ Prev Next ❯