浅谈PHP验证用户信息输入

大多数有经验的Web开发人员都非常清楚任何Web应用程序最薄弱的安全点是它的窗体。这是因为Web窗体的接口往往都直接连接到应用程序的数据库或者算法上，因此哪怕用户输入中存在一点点小错误都可能轻易造成大面积的数据崩溃。

正是由于这个原因，输入验证是保证你Web应用程序安全和创建一个更加可靠的技术系统的重要一部分。如果你使用PHP（而你应该使用它），那么利用PEAR Validate类，这项任务就被大大简化了，因为这个类为常见的用户验证任务提供了现成的方法。

要实地了解这个类，你就要先下载它并安装到系统里。你可以手动安装这个程序包，把它的内容包解压到PEAR基目录下，你也可以使用PEAR安装程序。

注：列表A和B的文本编辑版本见下载的文件。

Validate类带有很多内置的验证方法，具体描述见表格A。

表格A

方法

功能

用法示例

number($input, $opts)

测试输入的内容是否为数字。还能测试输入的数值是否在某个范围之内。

<?php
// check if input is a number
echo $validate->number("11") ? "true" : "false";

// check if input lies between 1 and 99
echo $validate->number("110", array("min" => 1, "max" => "99")) ? "true" : "false";
?>

email($input)

测试输入的内容是否是一个合法的电子邮件地址。

<?php
// check if input is an e-mail address
echo $validate->email("me@example.com") ? "true" : "false";
?>

string($input, $opts)

测试输入的内容是否是一个字符串。还能测试字符串是否符合特定的模式或者在某个字符限制范围之内。

<?php
// check if input is a string
echo $validate->string("hello") ? "true" : "false";

// check if input is between 2 and 4 characters long
echo $validate->string("boo", array("min_length" => 2, "max_length" => 4)) ? "true" : "false";
?>

uri($input)

测试输入的内容是否是一个合法的URL。

<?php
// check if input is a URL
echo $validate->uri("") ? "true" : "false";
?>

date($input, $opts)

测试输入的内容是否是一个合法的日期。

<?php
// check if input is a valid date in the form "DD-MM-YY"
echo $validate->date("06-07-08", array("format" => "%d-%m-%y")) ? "true" : "false";
?>

所以，如果你需要测试特定的数据块是否符合要求，比如电子邮件地址的格式，你所需要做的就是将它传递给Validate类的semail()方法，它会为你进行检查，并返回一个真／伪（true／false）值。你可以用这个值来显示错误、中止脚本的进一步执行，或者编写一个错误日志。

要想看到这是如何在真实世界里起作用的，我们就要创建一个简单的HTML窗体，然后使用Validate来测试输入到里面的数据的完整性。我们就从创建简单的HTML窗体开始，见列表A。

列表A

<html>
<head></head>
<body>
<h2>Enter your comments</h2>
<i>Fields marked with a * are mandatory</i>
<p />

<form action="validate.php" method="post">
Name *<br />
<input type="text" name="name">
<p />

Age *<br />
<input type="text" name="age" size="4">
<p />

E-mail address *<br />
<input type="text" name="e-mail">
<p />

Web site <br />
<input type="text" name="url">
<p />

Comments *<br />
<textarea name="comments"></textarea>
<p />
<input type="submit" name="submit" value="Send">
</form>

</body>
</html>

正如你所见到的，这个窗体含有很多字段，用于不同类型的数据。大多数字段都是必填的。因此，这里的问题是如何确保窗体里（明确提出的和隐含的）规则让用户来遵守。