浅谈PHP验证用户信息输入

大多数有经验的Web开发人员都非常清楚任何Web应用程序最薄弱的安全点是它的窗体。这是因为Web窗体的接口往往都直接连接到应用程序的数据库或者算法上，因此哪怕用户输入中存在一点点小错误都可能轻易造成大面积的数据崩溃。

正是由于这个原因，输入验证是保证你Web应用程序安全和创建一个更加可靠的技术系统的重要一部分。如果你使用PHP（而你应该使用它），那么利用PEAR Validate类，这项任务就被大大简化了，因为这个类为常见的用户验证任务提供了现成的方法。

要实地了解这个类，你就要先下载它并安装到系统里。你可以手动安装这个程序包，把它的内容包解压到PEAR基目录下，你也可以使用PEAR安装程序。

注：列表A和B的文本编辑版本见下载的文件。

Validate类带有很多内置的验证方法，具体描述见表格A。

表格A

所以，如果你需要测试特定的数据块是否符合要求，比如电子邮件地址的格式，你所需要做的就是将它传递给Validate类的semail()方法，它会为你进行检查，并返回一个真／伪（true／false）值。你可以用这个值来显示错误、中止脚本的进一步执行，或者编写一个错误日志。

要想看到这是如何在真实世界里起作用的，我们就要创建一个简单的HTML窗体，然后使用Validate来测试输入到里面的数据的完整性。我们就从创建简单的HTML窗体开始，见列表A。

列表A

<html>
<head></head>
<body>
<h2>Enter your comments</h2>
<i>Fields marked with a * are mandatory</i>
<p />

<form action="validate.php" method="post">
Name *<br />
<input type="text" name="name">
<p />

Age *<br />
<input type="text" name="age" size="4">
<p />

E-mail address *<br />
<input type="text" name="e-mail">
<p />

Web site <br />
<input type="text" name="url">
<p />

Comments *<br />
<textarea name="comments"></textarea>
<p />
<input type="submit" name="submit" value="Send">
</form>

</body>
</html>

正如你所见到的，这个窗体含有很多字段，用于不同类型的数据。大多数字段都是必填的。因此，这里的问题是如何确保窗体里（明确提出的和隐含的）规则让用户来遵守。

做到这一点，就要创建下面这样一段PHP验证脚本（列表B），并把它保存到你Web服务器的文档根目录下。

列表B

<html>
<head></head>
<body>

<?php
// include class
include("Validate.php");

// initialize input validator
$validate = new Validate();

// initialize error array
$errors = array();

// extract POST-ed variables
extract($_POST);

// check name field
if (!$validate->string($name, array("min_length" => 1))) {
    $errors[] = "Error in NAME field";
}

// check age field, ensure age is between 1 and 99
if (!$validate->number($age, array("min" => 1, "max" => 99))) {
    $errors[] = "Error in AGE field";
}

// check e-mail address format
if (!$validate->e-mail($e-mail)) {
    $errors[] = "Error in E-MAIL field";
}

// if URL supplied, check URL format
if ($validate->string($url, array("min_length" => 1))
 && !$validate->uri($url)) {
    $errors[] = "Error in URL field";   
}

// check comment field
if (!$validate->string($comments, array("min_length" => 1))) {
    $errors[] = "Error in COMMENTS field";
}

// test error array to see if any errors generated
// if so, display error messages
if (sizeof($errors) > 0) {
    echo "Your form could not be processed
because of one or more errors (listed below): <br />";
    echo "<ul>";
    foreach ($errors as $e) {
        echo "<li>$e</li>";
    }
    echo "</ul>";
// if no errors
// do something
// e-mail the comment, or save it to a database
// display a success message
} else {
    echo "Thank you, your comments have been recorded";
}
?>

</body>
</html>

这里，输入到窗体的值利用extract()函数被转换成常规PHP变量。然后，Validate类被用来测试每个变量，以确定它的格式是否正确，就像下面这样：

• 利用string()方法检查至少含有一个字符的字符串存在，“名字（Name）”字段（必填）被测试。
• 利用number()方法检查是否有1到99之间的某个数字存在，“年龄（Age）”字段（必填）被测试。
• 利用email()方法，“电子邮件地址（E-mail address）”字段（必填）被测试。
• 利用string()方法，“Web网站（Web site）”字段（可选）被首先测试，以确定它是否含有任何数据；如果有数据，那么就利用url()方法测试URL的格式。
• 利用string()方法检查至少含有一个字符的字符串存在，“注释（Comments）”字段（必填）被测试。

在任何Validate方法返回伪值的情况下，一个含有相应错误消息的新元素被加到$errors数组里。一旦所有的验证程序都已经完成，$errors数组就会被检查，错误消息（如果有的话）就显示给用户。如果在$errors数组里没有错误消息，这意味着数据适合于进一步使用，例如通过电子邮件注射到存储系统里或者用于计算。

正如你能够看到的，Validate类可以简化验证用户输入的任务。所以你会在下一次坐下来编写Web窗体的时候发现它是多么有用。玩得开心！