کار با فرم ها - اعتبارسنجی فرم ها یا validation در PHP

در این جلسه و جلسه بعدی نشان می دهیم چگونه از PHP برای اعتبارسنجی داده های فرم استفاده کنید.قبل از هر چیز این نکته را بیان کنیم که  $_SERVER یک آرایه است که حاوی اطلاعاتی مانند headers، paths و script locations است. ورودی های این آرایه توسط web server ایجاد می شوند.

اعتبار سنجی فرم پی اچ پی

فرم HTML ی که ما در این فصل کار خواهیم کرد، شامل فیلدهایِ ورودی مختلفی می باشد، نظیر: فیلدهای متنی الزامی و اختیاری، دکمه های رادیویی(radio button) و دکمه ارسال(submit) .

نام:

ایمیل:

وبسایت:

توضیحات: 

جنسیت: زن مرد

قوانین اعتبارسنجی برای فرم بالا به شرح زیر است:

ابتدا به کد HTML ساده فرم نگاه کنیم:

فیلدهای متنی(Text Fields)

فیلد های نام، ایمیل و وبسایت، فیلدهای متنی (text input) هستند و فیلد توضیحات از نوع textarea می باشد. کد html آن ها بدین شکل می باشد.

Name: <input type="text" name="name">
E-mail: <input type="text" name="email">
Website: <input type="text" name="website">
Comment: <textarea name="comment" rows="5" cols="40"></textarea>

دکمه های رادیویی (Radio Buttons)

فیلد جنسیت از نوع دکمه های رادیویی می باشد و کد HTML آن به صورت زیر است:

جنسیت:

<input type="radio" name="gender" value="female">زن

<input type="radio" name="gender" value="male">مرد

عنصر form

کد HTML فرم به صورت زیر است:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

وقتی فرم توسط کاربر پر می شود و بعد روی دکمه "ارسال" کلیک می شود ، داده های فرم با متد POST  ارسال می شوند.

نکته:

متغیر سراسری ویژه  $_SERVER['PHP_SELF'] یک متغیر سوپرگلوبال (superglobal) است که نام فایل اجراکننده اسکریپت جاری را بر می گرداند. بنابراین این متغیر، زمانی که کاربر روی دکمه ارسال یا submit کلیک می کند، بجای اینکه داده ها را به یک فایل متفاوت دیگر ارسال کند به خودصفحه جاری ارسال می کند. بنابراین، کاربر خطاها (error messageها) را در صفحه ای که فرم وجود دارد مشاهده خواهد کرد.

سوال : تابع htmlspecialchars چیست و چه کاربردی دارد؟

با استفاده ازاین تابع می توان ،کاراکترهای خاص را به HTML entity تبدیل نمود. این کار بدین معناست که کاراکترهایی مثل علامت کوچکتر(<) و بزرگتر(>) که توسط کاربر وارد می شود را به ;lt$ و ;gt$ تبدیل می کند. با این کار شما می توانید از حمله ی هکرها جلوگیری کنید. زیرا آنها قصد دارند به وسیله ی تزریقِ(injection) کدهای HTML یا JavaScript ، سایت شما را تخریب کنند. و شما می توانید به وسیله تابع htmlspecialchars مانع از اجرا کدهای آنها شوید.

یک تذکر مهم درباره امنیت فرم ها در PHP

متغیر $ _SERVER ["PHP_SELF"] می تواند توسط هکرها مورد استفاده قرار گیرد! اگر PHP_SELF در صفحه شما استفاده شود، هکر می تواند در آدرس بار مرورگرش بعد از آدرس فایل یک اسلش (/) قرار دهد و سپس از دستورات  XSSیا Scripting Cross Site برای تخریب سایت شما استفاده کند.

XSS یا Cross-site scripting چیست؟

حملات Cross -site scripting یا XSS یک نوع آسیب پذیری از نوع امنیتی است که معمولا در برنامه های تحت وب وجود دارد. به وسیله  XSS، هکرها می توانند تا از طریق تزریق اسکریپت به صفحات وب، از سمت client ، وبسایت شما را هک کنند.

فرض کنید فرم زیر را در یک صفحه با نام test_form.php داریم:

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

در حال حاضر، اگر یک کاربر URL معمولی را در نوار آدرس مانند "http://www.example.com/test_form.php" وارد کند، کد بالا به آن ترجمه می شود:

<form method="post" action="test_form.php">

خوب تا اینجا همه چیز خوب است.

حال، در نظر بگیرید که یک کاربر در نوار آدرس به نشانی اینترنتی زیر وارد می شود:

http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

در این مورد، کد فوق به صورت زیر ترجمه می شود:

<form method="post" action="test_form.php"/><script>alert('hacked')</script>

این کد یک تگ <script> و یک دستور alert را اضافه می کند.

و هنگامی که صفحه بارگذاری می شود، کد جاوا اسکریپت اجرا می شود و کاربر یک جعبه پیغام خواهد دید. این فقط یک مثال ساده و بی ضرر است که چگونه متغیر PHP_SELF می تواند مورد سوء استفاده قرار گیرد.

بدانید که هر کد جاوا اسکریپتی می تواند داخل تگ <script> اضافه شود! هکرها می توانند کاربر را به یک فایل دیگر روی سروری دیگر هدایت یا  redirect کنند، وآن فایل می تواند حاوی کدهای مخربی باشد که قادر باشد متغیرهای سراسری یا global را تغییر دهد و یا فرم را به آدرس دیگری ارسال کند تا بتواند برای مثال اطلاعات کاربر را ذخیره نماید.

چگونه می توان با هک از طریق $_SERVER["PHP_SELF"] مقابله نمود؟

با استفاده از تابع ()htmlspecialchars، می توان با هک از طریق $_SERVER["PHP_SELF"] مقابله نمود.

کد فرم باید مانند این باشد:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

تابع ()htmlspecialchars، کاراکترهای خاص را به HTML entity تبدیل می کند. حالا اگر کاربر بخواهد از متغییر "PHP_SELF" سوء استفاده کند، با نتیجه زیر روبرو خواهد شد:

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

تلاش هکرها بی فایده است و هیچ آسیبی به سایت شما وارد نخواهد شد!

اعتبارسنجی داده های فرم

اولین کاری که ما انجام خواهیم داد این است که تمام متغیرها را به تابع htmlspecialchars () پاس بدهیم.

وقتی ما از تابع htmlspecialchars () استفاده میکنیم؛ سپس اگر یک کاربر سعی در ارسال کد زیر در یک فیلد متنی داشته باشد:

<script>location.href('http://www.hacked.com')</script>

- این کد اجرا نخواهد شد،  زیرا کاراکترهای خاص در متن بالا، به HTML entity معادلاشان تبدیل می شوند:

<script>location.href('http://www.hacked.com')</script>

کدی که اکنون تولید شده است امن می باشد. وقتی کاربر فرم را ارسال می کند، ما دو کار دیگر نیز انجام خواهیم داد:

1. با استفاده از تابع ()trim کاراکترهای غیرضروری (مثل: فاصله های اضافی، tab و خطوط خالی) را حذف می کنیم.
2. با استفاده از تابع ()stripslashes، بک اسلش ها (\) را حذف می کنیم

گام بعدی ایجاد یک تابع است که برای ما این کارها را انجام می دهد (به جای اینکه این کدها را هر بار بنویسیم بهتر است یک تابع بنویسیم و چندین بار استفاده کنیم)

تابعی که ما می سازیم test_input () را نام دارد.

حالا ما می توانیم هر متغیر $_POST را با تابع test_input بررسی کنیم. کد آن به صورت زیر می باشد :

<?php

// define variables and set to empty values

$name = $email = $gender = $comment = $website = "";



if ($_SERVER["REQUEST_METHOD"] == "POST") {

  $name = test_input($_POST["name"]);

  $email = test_input($_POST["email"]);

  $website = test_input($_POST["website"]);

  $comment = test_input($_POST["comment"]);

  $gender = test_input($_POST["gender"]);

}



function test_input($data) {

  $data = trim($data);

  $data = stripslashes($data);

  $data = htmlspecialchars($data);

  return $data;

}

?>

کدهای قبلی را به این کدها الحاق می کنیم و آنچه می بینیم بدین صورت می باشد، کدهای زیر را اجرا کنید و نتیجه را مشاهده نمایید:

<!DOCTYPE HTML> 
<html>
<head>
</head>
<body style="direction:rtl;"> 

<?php
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST")
{
  $name = test_input($_POST["name"]);
  $email = test_input($_POST["email"]);
  $website = test_input($_POST["website"]);
  $comment = test_input($_POST["comment"]);
  $gender = test_input($_POST["gender"]);
}

function test_input($data)
{
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}
?>

<h2>فرم</h2>
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"> 
<div><span>نام:</span><input type="text" name="name"></div>
<div><span>ایمیل:</span><input type="text" name="email"></div>
<div><span>وب سایت:</span><input type="text" name="website"></div>
<div><span>توضیحات:</span><textarea name="comment" rows="5" cols="40"></textarea>
</div>
<div><span>جنسیت:</span>
<input type="radio" name="gender" value="female">زن
<input type="radio" name="gender" value="male">مرد
</div>
</div><input type="submit" name="submit" value="ارسال اطلاعات"></div>
</form>

<?php
if (isset($name) || isset($email) || isset($gender) || isset($comment) || isset($website))
 {
  echo "<br /><h2>خروجی کدهای شما</h2>";
  echo "نام :$name";
  echo "<br />";
  echo "ایمیل: $email";
  echo "<br />";
  echo "وب سایت: $website";
  echo "<br />";
  echo "توضیحات: $comment";
  echo "<br />";
  echo "جنسیت: $gender";
 }
?>

</body>
</html>

توجه داشته باشید که در ابتدای اسکریپت، ما بررسی می کنیم که آیا فرم با استفاده از $ _SERVER ["REQUEST_METHOD"] ارائه شده است. اگر REQUEST_METHOD برابر با POST  باشد، پس فرم به درستی ارسال شده است و باید تایید شود در غیر این صورت یک فرم خالی نمایش داده خواهد شد.

با این حال، در مثال بالا، تمام فیلدهای ورودی اختیاری است. اسکریپت درست کار می کند حتی اگر کاربر هیچ داده ای وارد نکند. گام بعدی این است که فیلدهای ورودی مورد نیاز را ایجاد کرده و در صورت لزوم پیغام خطا ایجاد کنید.