PHP表單驗證實踐

表單驗證是Web開發中非常重要的一部分，其目的是確保用戶提交的表單數據符合我們預設的規則，保證數據的安全和有效性。本文將從以下幾個方面對PHP表單驗證做詳細闡述：

一、基礎概念

在進行正式的表單驗證之前，我們需要先了解一些基本的概念：

• 客戶端驗證：即在表單被提交之前，通過JavaScript等前端腳本語言對數據進行驗證。
• 服務端驗證：即在表單提交到伺服器後，通過PHP等服務端編程語言對數據進行驗證。
• 正則表達式：是一種用於匹配文本的模式，可以用於檢查一個字元串是否符合我們預設的規則。
• 過濾函數：是一組用於安全過濾數據、保證數據有效性的PHP函數。

二、客戶端驗證

客戶端驗證通過JavaScript等前端腳本語言來驗證用戶在表單中輸入的數據是否符合預設的規則。這種驗證方式可以在用戶提交表單前及時發現並提示用戶錯誤，提升用戶體驗。

以下是一個簡單的JavaScript函數，用於驗證用戶輸入的郵件地址是否合法：

function checkEmail() {
  var email = document.getElementById("email").value;
  var regex = /^[\w-]+(\.[\w-]+)*@[\w-]+(\.[\w-]+)+$/;

  if (!regex.test(email)) {
    alert("請輸入有效的電子郵件地址！");
    return false;
  }

  return true;
}

在實際項目中，我們還可以使用jQuery等前端框架來簡化客戶端驗證的開發工作。

三、服務端驗證

相比客戶端驗證，服務端驗證更為重要，因為客戶端驗證可以被繞過。在接收到用戶提交的表單數據後，我們需要使用PHP等服務端編程語言來對數據進行驗證，確保其符合規則。

以下是一個基本的PHP表單驗證函數，用於驗證用戶輸入的姓名：

function validateName($name) {
  if (empty($name)) {
    return "姓名不能為空！";
  } else if (!preg_match("/^[a-zA-Z ]*$/",$name)) {
    return "姓名只能包含字母和空格！";
  }

  return "";
}

在實際項目中，我們通常會將驗證函數放在一個單獨的PHP文件中，並通過require_once或include_once引入到項目中。下面是一個完整的PHP表單驗證示例：

<?php
// 引入驗證函數
require_once 'validation_functions.php';

// 定義變數並初始化為空
$name = $email = $phone = $message = $success = "";

// 檢查表單是否被提交
if ($_SERVER["REQUEST_METHOD"] == "POST") {
  // 獲取表單數據
  $name = test_input($_POST["name"]);
  $email = test_input($_POST["email"]);
  $phone = test_input($_POST["phone"]);
  $message = test_input($_POST["message"]);

  // 驗證姓名
  $nameErr = validateName($name);

  // 驗證電子郵件
  $emailErr = validateEmail($email);

  // 驗證電話號碼
  $phoneErr = validatePhone($phone);

  // 驗證留言內容
  $messageErr = validateMessage($message);

  // 如果沒有錯誤，則將數據存入資料庫
  if (empty($nameErr) && empty($emailErr) && empty($phoneErr) && empty($messageErr)) {
    // 資料庫操作代碼
    $success = "您的留言已成功提交！";
  }
}
?>

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
  <label>姓名：</label>
  <input type="text" name="name" value="<?php echo $name;?>">
  <span class="error"><?php echo $nameErr;?></span>

  <label>電子郵件：</label>
  <input type="email" name="email" value="<?php echo $email;?>">
  <span class="error"><?php echo $emailErr;?></span>

  <label>電話號碼：</label>
  <input type="text" name="phone" value="<?php echo $phone;?>">
  <span class="error"><?php echo $phoneErr;?></span>

  <label>留言內容：</label>
  <textarea name="message"><?php echo $message;?></textarea>
  <span class="error"><?php echo $messageErr;?></span>

  <input type="submit" value="提交">
  <span class="success"><?php echo $success;?></span>
</form>

四、安全過濾

在對用戶提交的表單數據進行驗證後，我們還需要進行安全過濾，保證數據的安全性和有效性。

以下是一些常用的PHP安全過濾函數：

• htmlspecialchars：將特殊字元轉換為HTML實體。
• strip_tags：從字元串中去除HTML和PHP標記。
• htmlentities：將所有字元轉換為HTML實體。
• addslashes：在特定的字元前添加反斜杠。

使用安全過濾函數可以有效防止SQL注入等安全問題。

五、總結

表單驗證是Web開發中非常重要的一部分，有效的表單驗證可以保證用戶提交的數據符合我們預設的規則，保證數據的安全和有效性。在進行表單驗證時，我們需要結合客戶端驗證和服務端驗證，並且進行安全過濾，以保證數據的完整性和安全性。