- Проверка (валидация) форм PHP
- Что такое валидация?
- Некоторые из правил проверки нашей формы:
- Текстовые поля
- Радио-кнопки
- Элемент формы (form)
- Примечание о безопасности форм PHP
- Как избежать эксплойтов $_SERVER[«PHP_SELF»]?
- Пример
- PHP Form Validation
- PHP Form Validation
- Text Fields
- Radio Buttons
- The Form Element
- Big Note on PHP Form Security
- How To Avoid $_SERVER[«PHP_SELF»] Exploits?
- Validate Form Data With PHP
- Example
Проверка (валидация) форм PHP
В этой главе будет показано, как обрабатывать формы PHP с учетом требований безопасности. Правильная валидация данных формы важна для её защиты от хакеров и спамеров!
Что такое валидация?
Валидация означает проверку данных, вводимых пользователем. В PHP доступны два типа проверки:
- Валидация на стороне клиента — проверка выполняется на стороне клиента в веб-браузере.
- Валидация на стороне сервера — после отправки данных на сервер их проверка осуществляется на серверной стороне.
Ниже приведена HTML-форма, которая содержит различные поля ввода: обязательные (required) и необязательные текстовые поля, переключатели (радио-кнопки) и кнопку отправки (submit). С этой формой мы будем с вами работать в этой главе. Попробуйте ввести данные:
Некоторые из правил проверки нашей формы:
Поле формы | Правила валидации |
---|---|
Имя | Обязатеьно для заполнения + Должно содержать только буквы и пробелы |
Обязатеьно для заполнения + Требуются символ собачка (@) и точка (.) | |
Веб-сайт | Необязательно для заполнения. Проверяется наличие валидного URL |
Комментарий | Необязательно для заполнения. Многострочное поле ввода (текстовое поле) |
Образование | Обязатеьно для заполнения + Должна быть выбрана хотя бы одна кнопка |
Текстовые поля
Поля для ввода имени, адреса электронной почты и веб-сайта создается с помощью элемента (от англ. input — ввод) с атрибутом type=»text», а поле для комментария применяется элемент (текстовая область). HTML-код выглядит так:
Радио-кнопки
В нашей форме выбор образования осуществляется с помощью элементов типа radio (переключатели), которые используют принцип логического «ИЛИ», позволяя выбрать только одно из нескольких значений: если вы выбираете одно положение, то все остальные становятся неактивными:
Элемент формы (form)
Главным для элемента является атрибут action, который указывает обработчик данных для формы. Обработчик данных — это файл, описывающий, что нужно делать с данными формы. Данные формы отправляются с помощью method = «post»:
$_SERVER [«PHP_SELF»] — это суперглобальная переменная, которая возвращает имя файла текущего выполняемого скрипта-обработчика.
Переменная $_SERVER [«PHP_SELF»] отправляет данные из формы на саму же страницу с формой, вместо перехода на другую страницу. Таким образом, пользователь будет получать сообщения об ошибках на той же странице, где заполняется форма.
Функция htmlspecialchars() преобразует данные, введенные пользователем, которые могут содержать нежелательные HTML-тэги. Производятся следующие преобразования:
Эти манипуляции предотвращает использование злоумышленниками кода путем внедрения скрипта (атаки с межсайтовым скриптингом) в формы.
Примечание о безопасности форм PHP
Учтите, что переменная $_SERVER [«PHP_SELF»] может использоваться хакерами!
Если Вы используете на странице сайта PHP_SELF, то пользователь может ввести в адресной строке косую черту (/), а затем выполнить несколько команд межсайтового скриптинга (XSS).
Примечание: XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. XSS позволяет злоумышленникам внедрять клиентские скрипты в веб-страницы, просматриваемые другими пользователями..
Предположим, у нас есть следующая форма на странице с именем «send_form.php»:
Теперь, если пользователь вводит обычный URL-адрес в адресной строке, например «http://site_name.com/send_form.php», приведенный выше код будет преобразован в:
Теперь пользователь вводит URL-адрес в адресной строке и после косой черты несколько команд межсайтового скриптинга:
http://site_name.com/send_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
После таких манипуляция приведенный выше код будет переведен на:
Этот код добавляет тег скрипта и команду предупреждения alert. Когда страница начнёт загружаться, код JavaScript будет выполнен и пользователь увидит окно предупреждения. Дальнейшая загрузка страницы прекратится до тех пор, пока пользователь не кликнет ОК. Это простой пример того, как можно использовать переменную PHP_SELF.
Примечание: Имейте в виду, что любой код JavaScript можно внедрить внутрь тега >! Хакер может перенаправить посетителя сайта к файлу на другом сервере, а тот файл может содержать вредоносный код. Этот код, в свою очередь, может изменять глобальные переменные или пренаправлять данные формы на другой адрес, например, для кражи пользовательской информации.
Как избежать эксплойтов $_SERVER[«PHP_SELF»]?
Экспло́йт (англ. exploit, эксплуатировать) — это фрагмент вредоносного программного кода либо последовательность команд, которые используют уязвимости в программе и применяеются для проведения хакерской атаки.
Чтобы избежать экспойты нужно переменную $_SERVER[«PHP_SELF»] предать в качестве аргумента в функцию htmlspecialchars() :
Функция htmlspecialchars() преобразует специальные символы (в нашем случае угловые скобки < и >) в объекты HTML. Теперь, если пользователь попытается использовать переменную PHP_SELF с целью внедрения стороннего кода, это приведет к следующему выводу:
Первым делом передадим все переменные формы в функцию PHP htmlspecialchars() . Эта функция возвращает строку, над которой проведены рассмотренные выше преобразования. Этих преобразований достаточно для защиты от эксплойта.
Теперь код можно безопасно отображать на странице или в электронном письме.
Сдедующим шагом применим ещё две функции:
- Из данных, вводимых пользователем (с помощью PHP функции trim() ) удалим ненужные символы (лишние пробелы, табуляции, переходы на новую строку)
- C помощью PHP функции stripslashes() из данных, вводимых пользователем, удалим обратную косую черту (\)
И, наконец, создадим функцию, которая будет выполнять все рассмтренные проверки за нас, что намного удобнее, чем писать один и тот же код снова и снова. Назовем функцию test_input().
В следующем примере будем проверять каждую переменную $_POST с помощью функции test_input():
Пример
//определим переменные и установим пустые значения
$name = $email = $education = $comment = $website = ""; if ($_SERVER["REQUEST_METHOD"] == "POST") $name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$education = test_input($_POST["education"]);
> function test_input($data) $data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
> ?>
В начале сценария мы проверяем, используя суперглобальную переменную $ _SERVER [«REQUEST_METHOD»], была ли отправлена форма. Если для запроса страницы был использован метод POST, значит, форма была отправлена — и ее нужно проверить. Если форма не была отправлена — пропускаем проверку и отображаем пустую форму.
В приведенном выше примере все поля ввода необязательны. Созданный в этом уроке скрипт отлично работает, даже если пользователь не вводит никаких данных.
В следующем уроке сделаем поля ввода обязательными, а также разберёмся как, при необходимости, создать сообщения об ошибках.
PHP Form Validation
This and the next chapters show how to use PHP to validate form data.
PHP Form Validation
Think SECURITY when processing PHP forms!
These pages will show how to process PHP forms with security in mind. Proper validation of form data is important to protect your form from hackers and spammers!
The HTML form we will be working at in these chapters, contains various input fields: required and optional text fields, radio buttons, and a submit button:
The validation rules for the form above are as follows:
Field | Validation Rules |
---|---|
Name | Required. + Must only contain letters and whitespace |
Required. + Must contain a valid email address (with @ and .) | |
Website | Optional. If present, it must contain a valid URL |
Comment | Optional. Multi-line input field (textarea) |
Gender | Required. Must select one |
First we will look at the plain HTML code for the form:
Text Fields
The name, email, and website fields are text input elements, and the comment field is a textarea. The HTML code looks like this:
Radio Buttons
The gender fields are radio buttons and the HTML code looks like this:
The Form Element
The HTML code of the form looks like this:
When the form is submitted, the form data is sent with method=»post».
What is the $_SERVER[«PHP_SELF»] variable?
The $_SERVER[«PHP_SELF»] is a super global variable that returns the filename of the currently executing script.
So, the $_SERVER[«PHP_SELF»] sends the submitted form data to the page itself, instead of jumping to a different page. This way, the user will get error messages on the same page as the form.
What is the htmlspecialchars() function?
The htmlspecialchars() function converts special characters to HTML entities. This means that it will replace HTML characters like < and >with < and >. This prevents attackers from exploiting the code by injecting HTML or Javascript code (Cross-site Scripting attacks) in forms.
Big Note on PHP Form Security
The $_SERVER[«PHP_SELF»] variable can be used by hackers!
If PHP_SELF is used in your page then a user can enter a slash (/) and then some Cross Site Scripting (XSS) commands to execute.
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. XSS enables attackers to inject client-side script into Web pages viewed by other users.
Assume we have the following form in a page named «test_form.php»:
Now, if a user enters the normal URL in the address bar like «http://www.example.com/test_form.php», the above code will be translated to:
However, consider that a user enters the following URL in the address bar:
In this case, the above code will be translated to:
This code adds a script tag and an alert command. And when the page loads, the JavaScript code will be executed (the user will see an alert box). This is just a simple and harmless example how the PHP_SELF variable can be exploited.
Be aware of that any JavaScript code can be added inside the tag! A hacker can redirect the user to a file on another server, and that file can hold malicious code that can alter the global variables or submit the form to another address to save the user data, for example.
How To Avoid $_SERVER[«PHP_SELF»] Exploits?
$_SERVER[«PHP_SELF»] exploits can be avoided by using the htmlspecialchars() function.
The form code should look like this:
The htmlspecialchars() function converts special characters to HTML entities. Now if the user tries to exploit the PHP_SELF variable, it will result in the following output:
The exploit attempt fails, and no harm is done!
Validate Form Data With PHP
The first thing we will do is to pass all variables through PHP’s htmlspecialchars() function.
When we use the htmlspecialchars() function; then if a user tries to submit the following in a text field:
— this would not be executed, because it would be saved as HTML escaped code, like this:
The code is now safe to be displayed on a page or inside an e-mail.
We will also do two more things when the user submits the form:
- Strip unnecessary characters (extra space, tab, newline) from the user input data (with the PHP trim() function)
- Remove backslashes (\) from the user input data (with the PHP stripslashes() function)
The next step is to create a function that will do all the checking for us (which is much more convenient than writing the same code over and over again).
We will name the function test_input().
Now, we can check each $_POST variable with the test_input() function, and the script looks like this:
Example
// define variables and set to empty values
$name = $email = $gender = $comment = $website = «»;
?php
if ($_SERVER[«REQUEST_METHOD»] == «POST») $name = test_input($_POST[«name»]);
$email = test_input($_POST[«email»]);
$website = test_input($_POST[«website»]);
$comment = test_input($_POST[«comment»]);
$gender = test_input($_POST[«gender»]);
>
function test_input($data) $data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
>
?>
Notice that at the start of the script, we check whether the form has been submitted using $_SERVER[«REQUEST_METHOD»]. If the REQUEST_METHOD is POST, then the form has been submitted — and it should be validated. If it has not been submitted, skip the validation and display a blank form.
However, in the example above, all input fields are optional. The script works fine even if the user does not enter any data.
The next step is to make input fields required and create error messages if needed.