LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (25) - Formuláře - nikomu nevěřte

Při zpracování dat z formulářů musíme být opatrní - a data ověřovat. Uživatelé se totiž dříve nebo později pokusí podstrčit nám neplatná data.

16.7.2004 15:00 | Petr Zajíc | Články autora | přečteno 135574×

Je hezké, že umíme zpracovávat data pomocí formulářů - ale je tu ten lidský prvek. Data z formulářů nepocházejí od počítačů, ale od lidí. Protože v reálné aplikaci na tom většinou záleží, bude potřeba data ověřovat. E-mailové adresy, telefonní čísla, webové adresy a spousta dalších věcí se dají alespoň primitivně ověřit. Navíc, někdy může formulář být terčem útoku - a nedostatečné ověření může způsobit "díru" do naší aplikace.

Jednoduché ověřování

Protože data z formuláře jsou k dispozici jakožto proměnné ve skriptu, může nejjednodušší ověřování spočívat v kontrole těchto proměnných. Takže, primitivní skript který ověří e-mailovou adresu:

<?
  
function JeEmail ($cislo)
  {
    return
ereg("^.+@.+\..+$",$cislo);
  }

  if (empty (
$_POST))
  {
?>
<form method="post" action="26_simple.php">
  E-mail: <input name="email">
    <input type="Submit" name="odesli">
</form>
<?
  
}
  else
  {
    if (!
JeEmail($_POST["email"])) echo "Tohle nevypadá jako e-mail";
    else echo
"Zpracovávám ". $_POST["email"];
  }
?>

Spustit skript

Toto ověřování však má zásadní problém. Uživatele jsme sice prokouknuli, ale místo všeho jiného jsme mu jen poslali varovnou hlášku. Chtělo by to něco jiného - při chybě zobrazit opět původní formulář. Což nám celý skript trošku zamotá, protože budeme muset testovat jednak to, zda již byl formulář odeslán, a jednak to, zda byl odeslán se správnými daty. Nová verze by mohla vypadat nějak takto:

<?
  
function JeEmail ($cislo)
  {
    return
ereg("^.+@.+\..+$",$cislo);
  }
  
$BudemeZobrazovat=true;
  if (!empty(
$_POST)) // tak už se odesílalo a musíme kontolovat
  
{
    if (!
JeEmail($_POST["email"]))
    {
      
// kontrolou jsme neprošli
      
echo "Tohle nevypadá jako e-mail!";
    }
    else
    {
      
// kontolou jsme prošli
      
$BudemeZobrazovat=false;
      echo
"Zpracovávám ". $_POST["email"];
    }
  }
if (
$BudemeZobrazovat):?>
  <form method="post" action="source.php">
    E-mail: <input name="email">
      <input type="Submit" name="odesli">
  </form>
<?endif;?>

Spustit skript

Skript je poměrně dost překopaný a zalouží si rozsáhlý komentář. K celému problému přistupujeme pesimisticky: předpokládáme, že ve většině případů budeme muset formulář zobrazit. Takže si na to vytvoříme logickou proměnnou $BudemeZobrazovat. Tato proměnná je ze začátku nastavena na TRUE, tedy že formulář zobrazovat budeme.

Následuje podmínka testující, zda jsme již formulář odeslali. To je postup, který jsme detailně rozebrali v minulém díle seriálu. Pokud jsme ho neodesílali, tělo podmínky se neprovede a formulář se nám zobrazí. Jestliže jsme formulář ale již odeslali, dostáváme se dovnitř, do těla podmínky, kde máme vnořenou podmínku. ("dobře, něco jsme odeslali, ale je to správně"). Pokud, a pouze pokud projdeme kontrolou, nastavíme proměnnou $ZobrazitFormular na FALSE a můžeme formulář zpracovat.

Jestliže ale testem správnosti formulář neprojde, zobrazíme varovnou hlášku ("tohle nevypadá jako e-mail") a opustíme obě podmínky. Proměnná $BudemeZobrazovat zůstala nasatavena na TRUE, takže se nám po varovné hlášce formulář zobrazí, což je přesně to, co jsme chtěli.

Na celém přístupu je príma hlavně to, že samotná definice formuláře je až na konci skriptu a neplete se nám do jeho zpracování. Ono to na první pohled nevypadá, ale některé formuláře mají více vstupních prvků a musí se provést více kontrol, takže se kód protáhne.

Profi přístup

Nakolik se Vám možná chce jásat, má náš skript jednu dosti podstatnou vadu. Když se mají údaje opravovat, chybí tam předvyplněné ty původní. Za to Vás budou chtít uživatelé lynčovat, protože kdyby formulář obsahoval deset polí a chyba by byla jen v jednom, je jasné, že by museli vyplnit všech dest polí znova (brr). Jednoduchou úpravou skriptu ale dosáhneme toho, že když jej vyplňujeme již poněkolikáté, tak tam předchozí hodnoty zůstanou:


// začátek je stejný...
if ($BudemeZobrazovat):?>
  <form method="post" action="26_complex.php">
    E-mail: <input name="email" value="<?echo $_POST["email"]?>">
      <input type="Submit" name="odesli">
  </form>
<?endif;?>

Ukázat skript | Spustit skript

Skutečně to je takto jednoduché - když se má formulář zpracovávat po několikáté, tak jsou již prvky pole $_POST k dispozici a můžete tedy použít jejich hodnoty jako výchozí hodnoty prvků formuláře.

Verze pro tisk

pridej.cz

 

DISKUZE

Varovani 16.7.2004 15:33 Michal Čihař
L Re: Varovani 17.7.2004 19:41 Petr Zajíc
Taky neco dodam :-) 17.7.2004 17:09 mysql_php
|- Re: Taky neco dodam :-) 17.7.2004 19:47 Petr Zajíc
L Re: Taky neco dodam :-) 13.7.2010 13:21 Tomáš Kováčik
Display error 20.2.2008 21:54 Dan Pelíšek
L Re: Display error 20.2.2008 21:56 Dan Pelíšek
Dotaz na POST 12.6.2009 19:19 Jan Nepovim
ereg() 26.6.2010 14:25 Oleg Matskiv
  L Re: ereg() 25.1.2013 13:55 Jan joukercz Stejskal




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

14.5.2018 7:28 /František Kučera
Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 17. 5. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: Audio – zvuk v GNU/Linuxu.
Přidat komentář

7.5.2018 16:20 /František Kučera
Na stránkách spolku OpenAlt vyšla fotoreportáž Pražské srazy 2017 dokumentující srazy za uplynulý rok. Květnový pražský sraz na téma audio se bude konat 17. 5. 2018 (místo a čas ještě upřesníme).
Přidat komentář

17.4.2018 0:46 /František Kučera
Dubnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 4. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tématem tohoto srazu bude OpenStreetMap (OSM) aneb svobodné mapy.
Přidat komentář

16.3.2018 22:01 /František Kučera
Kulatý OpenAlt sraz v Praze oslavíme klasicky: u limonády a piva! Přijďte si posedět, dát si dobré jídlo a vybrat z mnoha piv do restaurace Kulový blesk, který najdete v centru Prahy nedaleko metra I. P. Pavlova na adrese Sokolská 13, Praha 2. Sraz se koná ve čtvrtek 22. března a začínáme v 18:00. Heslo: OpenAlt. Vezměte s sebou svoje hračky! Uvítáme, když si s sebou na sraz vezmete svoje oblíbené hračky. Jestli máte nějaký drobný projekt postavený na Arduinu, nějakou zajímavou elektronickou součástku, či třeba i pěkný úlovek z crowdfundingové akce, neváhejte. Oslníte ostatní a o zábavu bude postaráno.
Přidat komentář

13.2.2018 0:41 /František Kučera
Únorový pražský sraz OpenAltu se koná 15. 2. 2018 a tentokrát se vydáme na návštěvu do jednoho pražského datacentra. Sejdeme se v 17:50 v severovýchodní části nástupiště tramvajové zastávky Koh-I-Noor. Po exkurzi se přesuneme do restaurace U Pštrosa (Moskevská 49), kde probereme tradiční témata (svobodný software a hardware, DIY, CNC, SDR, 3D tisk…) a tentokrát bude k vidění i IoT brána od The Things Network.
Přidat komentář

11.2.2018 23:11 /Petr Ježek
Hledáte lehký a rychlý prolížeč PDF souborů? Pokud vás již omrzelo čekat na načítání stránek či jiné nešvary, zkuste xreader.
Přidat komentář

11.2.2018 20:35 /Redakce Linuxsoft.cz
Třetí ročník odborné IT konference na téma Cloud computing v praxi proběhne ve čtvrtek 1. března 2018 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 16 hod. odpoledne. Konference o trendech v oblasti cloud computingu nabídne i informace o konkrétních možnostech využívání cloudů a řešení vybraných otázek souvisejících s provozem IT infrastruktury.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze