php 实现表单验证

表单验证的基本方法

在PHP中实现表单验证，可以通过多种方式确保用户输入的数据符合预期。以下是一些常见的验证方法：

检查是否为空 使用empty()函数或直接检查变量是否存在：

if (empty($_POST['username'])) {
    $errors[] = "用户名不能为空";
}

验证电子邮件格式 使用filter_var()函数验证电子邮件格式：

if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) {
    $errors[] = "电子邮件格式无效";
}

验证URL格式 同样使用filter_var()函数：

if (!filter_var($_POST['website'], FILTER_VALIDATE_URL)) {
    $errors[] = "URL格式无效";
}

使用正则表达式验证

正则表达式可以用于更复杂的验证需求，例如密码强度或特定格式的输入。

验证密码强度 确保密码包含大小写字母和数字：

if (!preg_match("/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d).{8,}$/", $_POST['password'])) {
    $errors[] = "密码必须包含大小写字母和数字，且长度至少8位";
}

验证电话号码 检查电话号码是否符合特定格式：

if (!preg_match("/^\+?\d{10,15}$/", $_POST['phone'])) {
    $errors[] = "电话号码格式无效";
}

防止SQL注入

使用预处理语句或转义用户输入以防止SQL注入攻击。

使用预处理语句 通过PDO或MySQLi预处理语句：

$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->execute([$_POST['username'], $_POST['email']]);

转义输入数据 使用mysqli_real_escape_string()函数：

$username = mysqli_real_escape_string($conn, $_POST['username']);
$email = mysqli_real_escape_string($conn, $_POST['email']);

客户端与服务器端验证结合

为了提升用户体验，可以在客户端使用JavaScript进行初步验证，同时在服务器端进行最终验证。

客户端验证示例 使用JavaScript检查表单字段：

function validateForm() {
    let username = document.forms["myForm"]["username"].value;
    if (username == "") {
        alert("用户名不能为空");
        return false;
    }
}

服务器端验证 在PHP中再次验证确保数据安全：

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (empty($_POST["username"])) {
        $errors[] = "用户名不能为空";
    }
}

显示错误信息

将错误信息集中显示，方便用户修正输入。

收集并显示错误 在表单页面顶部显示所有错误：

if (!empty($errors)) {
    foreach ($errors as $error) {
        echo "<p style='color: red;'>$error</p>";
    }
}

保留用户输入 在表单中保留用户已输入的值，避免重复填写：

<input type="text" name="username" value="<?php echo htmlspecialchars($_POST['username'] ?? ''); ?>">

通过以上方法，可以实现高效且安全的表单验证流程。