编辑“︁PHP表单验证”︁（章节）

= PHP表单验证 =

PHP表单验证是Web开发中确保用户输入数据符合预期格式和规则的重要过程。它帮助开发者防止恶意数据提交、提升用户体验并维护数据完整性。本指南将全面介绍PHP表单验证的技术实现，涵盖基础验证方法、安全注意事项及实际应用案例。

== 基本概念 ==
表单验证分为两种主要类型：
* '''客户端验证'''：通过JavaScript在浏览器中快速检查（可被绕过）
* '''服务器端验证'''：通过PHP在服务器上执行（必需的安全层）

完整的表单处理流程如下：
<mermaid>
sequenceDiagram
    用户->>浏览器: 填写表单
    浏览器->>服务器: 提交数据（可能含错误）
    服务器->>PHP: 执行验证逻辑
    alt 验证通过
        PHP->>数据库: 存储安全数据
        PHP->>浏览器: 显示成功消息
    else 验证失败
        PHP->>浏览器: 返回错误提示
    end
</mermaid>

== 核心验证技术 ==

=== 必填字段检查 ===
使用<code>empty()</code>函数检测空值：

<syntaxhighlight lang="php">
if (empty($_POST["username"])) {
    $errors[] = "用户名不能为空";
}
</syntaxhighlight>

=== 数据类型验证 ===
{| class="wikitable"
|+ 常用验证函数
! 函数 !! 用途 !! 示例
|-
| <code>filter_var()</code> || 通用过滤 || <code>filter_var($email, FILTER_VALIDATE_EMAIL)</code>
|-
| <code>is_numeric()</code> || 数字检测 || <code>is_numeric($_POST["age"])</code>
|-
| <code>preg_match()</code> || 正则表达式 || <code>preg_match("/^[a-zA-Z ]*$/",$name)</code>
|}

=== 数据清理 ===
防止XSS攻击的HTML转义：
<syntaxhighlight lang="php">
$clean_input = htmlspecialchars($_POST["comment"]);
</syntaxhighlight>

== 完整示例 ==
以下是一个用户注册表单的验证实现：

<syntaxhighlight lang="php">
<?php
$errors = [];
$validData = [];

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 验证用户名
    if (empty($_POST["username"])) {
        $errors["username"] = "必须填写用户名";
    } else {
        $validData["username"] = trim($_POST["username"]);
        if (!preg_match("/^[a-zA-Z0-9_]{4,20}$/", $validData["username"])) {
            $errors["username"] = "用户名只能包含字母、数字和下划线（4-20字符）";
        }
    }

    // 验证邮箱
    if (empty($_POST["email"])) {
        $errors["email"] = "必须填写邮箱";
    } else {
        $validData["email"] = filter_var($_POST["email"], FILTER_VALIDATE_EMAIL);
        if ($validData["email"] === false) {
            $errors["email"] = "邮箱格式无效";
        }
    }

    // 显示结果
    if (empty($errors)) {
        echo "<div class='success'>验证通过！</div>";
        // 这里通常进行数据库操作
    }
}
?>
<form method="post">
    <input type="text" name="username" value="<?= htmlspecialchars($_POST['username'] ?? '') ?>">
    <?= isset($errors["username"]) ? "<span class='error'>{$errors["username"]}</span>" : "" ?>

    <input type="email" name="email" value="<?= htmlspecialchars($_POST['email'] ?? '') ?>">
    <?= isset($errors["email"]) ? "<span class='error'>{$errors["email"]}</span>" : "" ?>

    <button type="submit">提交</button>
</form>
</syntaxhighlight>

== 高级验证技术 ==

=== 自定义验证函数 ===
创建可重用的验证逻辑：
<syntaxhighlight lang="php">
function validate_password($password) {
    if (strlen($password) < 8) {
        return "密码至少需要8个字符";
    }
    if (!preg_match("/[A-Z]/", $password)) {
        return "密码必须包含大写字母";
    }
    return null; // 表示验证通过
}

$passwordError = validate_password($_POST["password"]);
if ($passwordError) $errors["password"] = $passwordError;
</syntaxhighlight>

=== 文件上传验证 ===
安全验证上传文件：
<syntaxhighlight lang="php">
$allowedTypes = ["image/jpeg", "image/png"];
if (in_array($_FILES["avatar"]["type"], $allowedTypes)) {
    // 处理文件
} else {
    $errors["avatar"] = "只允许JPEG/PNG图片";
}
</syntaxhighlight>

== 安全注意事项 ==
* 始终在服务器端执行验证（客户端验证可被绕过）
* 对数据库查询使用预处理语句防止SQL注入
* 使用<code>htmlspecialchars()</code>输出用户数据防止XSS
* 敏感操作（如密码重置）需要二次验证

== 数学验证示例 ==
当需要验证数学公式输入时（如计算器应用）：
<math>
\begin{cases}
\text{valid} & \text{if } \forall c \in input, c \in \{0-9, +, -, *, /, (, )\} \\
\text{invalid} & \text{otherwise}
\end{cases}
</math>

== 最佳实践 ==
# 提供清晰的错误信息（但不要泄露系统细节）
# 保留用户已填写的有效字段
# 对密码等敏感字段实施强度规则
# 重要表单添加CSRF保护令牌
# 考虑使用验证库如<code>Respect\Validation</code>

通过本文介绍的技术，您可以构建安全可靠的PHP表单系统，有效处理用户输入并防止常见的安全漏洞。

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP表单处理]]