Обработка форм
HTML-формы позволяют передавать введенные пользователем данные на сервер, где их можно дополнительно обработать. Обслуживание форм выполняется в два этапа. Сначала форма должна быть представлена пользователю, который заполнит ее своими данными и затем отправит на сервер. У каждой формы есть целевая веб-страница, которая должна быть загружена для обработки данных, отправленных пользователем. Зачастую это тот же самый файл сценария, который генерирует форму. В этом случае PHP-код просто проверяет наличие данных в форме, чтобы определить, вызывать ли ему вновь сценарий для создания формы или начать обработку полученных данных.
В большинстве случаев, отправка форм на сервер предполагает какую-то работу с базами данных. Например, операция поиска в базе данных – это необходимое действие для большинства разнообразных приложений, будь то поиск сообщений в форуме, пользователей или блога. В любом случае эта операция способна облегчить жизнь пользователя. Т.к. к данному моменту мы еще не познакомились с взаимодействием PHP и СУБД MySQL, то в данной статье мы рассмотрим простые примеры обработки форм, а главной задачей для меня является показать как происходит передача информации с помощью языка PHP.
Передача информации с помощью языка PHP
В данном разделе приведены основные сведения о том, как может осуществляться передача данных между веб-страницами. Определенная часть этой информации не относится исключительно к технологии PHP, а описывает взаимодействие средств PHP и HTML или касается самого протокола HTTP.
Отсутствие поддержки состояния в протоколе HTTP
Наиболее важная особенность функционирования любой технологии веб, о которой всегда следует помнить, состоит в том, что сам протокол HTTP характеризуется отсутствием поддержки состояний. Это означает, что каждый запрос HTTP (который в большинстве случаев сводится к требованию на получение и доставку отдельного ресурса, такого как HTML-страница, файл .jpg, таблица стилей и т.д.) является независимым от всех других запросов, не включает какую-либо информацию об идентификации клиента и не оставляет следа в памяти компьютера.
Даже если сайт спроектирован таким образом, что навигация, т.е. переход с одной страницы на другую, происходит строго в одном направлении (допустим, страница 1 ведет только к странице 2, которая ведет только к странице 3, и т.д.), средства поддержки протокола HTTP не имеют информации и не учитывают то, что пользователь, просматривающий страницу 2, обязательно должен был посетить перед этим страницу 1. Нельзя присвоить значение какой-либо переменной на странице 1 и надеяться на то, что оно будет импортировано на страницу 2 с помощью самого языка HTML. Код HTML может использоваться для отображения формы, и с помощью этого кода можно даже вводить информацию, но если не будут применяться некоторые дополнительные средства передачи введенной информации на другую страницу или в другую программу, то значение, присвоенное переменной, после перехода на другую страницу просто исчезнет.
Технологии обработки форм, подобные PHP, предназначены именно для решения этой задачи. Средства PHP позволяют перехватить значение переменной, передаваемое с предыдущей страницы на следующую, и обеспечить доступ к этому значению для дальнейшего использования. Как оказалось, технология PHP предоставляет возможность выполнять функции передачи данных такого типа чрезвычайно успешно, поэтому позволяет быстро и легко развертывать необходимые средства для решения самых разнообразных задач, связанных с обеспечением функционирования веб-сайта.
Удобные возможности по передаче небольшого количества значений с данной конкретной страницы на любую другую отдельную страницу веб-сайта предоставляют формы HTML. Есть и другие способы поддержки состояния на протяжении многих просмотров страниц, характеризующиеся большей продолжительностью хранения данных, такие как cookie-файлы и сеансы, которые будут описаны в одной из следующих статей. А в этой статье рассматриваются в основном наиболее простые способы передачи информации между веб-страницами, в которых используются методы GET и POST в сочетании с протоколом HTTP для создания динамически формируемых страниц и обработки данных формы.
Параметры GET
Метод GET предусматривает передачу параметров с предыдущей страницы на следующую в составе строки запроса, которая представлена в формате универсального идентификатора ресурса URI. При использовании метода GET для обработки формы к URL, обозначенному с помощью атрибута action формы, после разделителя добавляется в виде вопросительного знака указанное имя (имена) и значение (значения) переменной, после чего вся эта строка передается обрабатывающему агенту (в данном случае веб-серверу).
Ниже приведен пример формы HTML, в которой используется метод GET (введите эту разметку и сохраните файл под именем sportselect.html):
Исходная HTML-разметка документа<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>Основы PHP</title>
<style>
* { font-family:Calibri }
fieldset { margin-bottom: 15px; padding: 10px }
legend { padding: 0px 3px; font-weight: bold; font-variant: small-caps }
select { width: 254px }
input[type=submit] { width: 170px; padding: 10px }
</style>
</head>
<body>
<form action="sports.php" method="get">
<fieldset>
<legend>Выберите ваш любимый вид спорта</legend>
<select name="sport">
<option value="Футбол">Футбол</option>
<option value="Баскетбол">Баскетбол</option>
<option value="Хоккей">Хоккей</option>
<option value="Волейбол">Волейбол</option>
<option value="Бальные танцы">Бальные танцы</option>
</select>
</fieldset>
<input type="submit" value="Отправить">
</form>
</body>
</html>
После того как пользователь сделает свой выбор и щелкнет на кнопке "Отправить", браузер соединит перечисленные ниже элементы в указанном порядке, без пробелов между элементами:
URL в кавычках после слова action (https://localhost/sports.php).
Вопросительный знак (?), обозначающий, что следующие символы составляют строку GET.
Переменная name, знак равенства (=) и соответствующий параметр value (value=Хоккей).
Амперсанд (&) и следующая за ним пара name=value (если таковая имеется).
Таким образом, браузер сформирует следующую строку URL:
https://localhostpre>Затем браузер перенаправляет полученную строку URL в пределах собственного пространства адресов в качестве нового запроса. Сценарий PHP, приведенный ниже (sports.php), в который передается указанная форма, осуществляет выборку значений переменных GET из последней части строки запроса, вставляет эти переменные и значения переменных в суперглобальный массив $_GET (который будет вскоре описан) и выполняет какие-то необходимые действия с этими значениями; в данном случае происходит вставка в текстовую строку:
Ниже приведен пример кода, в котором показан обработчик формы PHP для указанной выше формы HTML:
Страница-обработчик sports.php<!-- Файл sports.php --> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <title>Любимый вид спорта</title> </head> <body> <h1>Ваш любимый вид спорта - <span style="color:red"> <?php echo isset($_GET['sport']) ? $_GET['sport'] : ''; ?> </span></h1> </body> </html>
Обратите внимание на то, что значение, введенное в поле формы HTML с атрибутом name="sport" на предыдущей странице, теперь доступно в виде переменной PHP с именем $_GET['sport']. Работу этого примера демонстрирует следующий рисунок:
Теперь необходимо объяснить, как именно можно получить доступ к значениям, передаваемым со страницы на страницу. В этой статье рассматриваются два основных метода передачи значений используемых в формах — GET и POST. Каждый метод имеет связанный с ним суперглобальный массив. Суперглобальные массивы описаны более подробно в статье "Переменные и константы". Отличительной особенностью суперглобальных массивов от других массивов является наличие префикса в имени в виде знака подчеркивания.
Обработчик форм получает доступ к каждому элементу, передаваемому с помощью метода GET, обращаясь к массиву $_GET, а к каждому элементу, передаваемому с помощью метода POST, обращаясь к массиву $_POST. Синтаксическая структура, применяемая для обращения к какому-либо элементу суперглобального массива, является простой и полностью единообразной:
$_array_name['index_name']Здесь index_name — это часть пары "имя-значение", относящаяся к имени (для метода GET), или имя поля формы HTML (для метода POST). В соответствии с предыдущим примером $_GET['sport'] указывает значение элемента select формы, имеющего имя "sport"; это значение передано с помощью операции GET, выполненной применительно к первоначальному файлу. В обработчике формы необходимо использовать массив, соответствующий методу, с помощью которого были переданы данные. В частности, в рассматриваемом примере значение $_POST["sport"] не определено, поскольку из первоначальной формы не были отправлены какие-либо данные с помощью метода POST.
Метод GET обработки форм обладает одним значительным преимуществом над методом POST — он фактически позволяет каждый раз формировать новую и соответствующую текущей ситуации строку запроса URL. После этого пользователи могут устанавливать закладку на данную страницу. С другой стороны, результаты передачи форм с помощью метода POST не могут быть отмечены закладками.
Только то, что желаемые функциональные возможности могут быть достигнуты с помощью параметров GET, не означает, что обязательно нужно использовать метод GET. Недостатки метода GET, которые обнаруживаются в большинстве типов обработки форм, являются столь существенными. В оригинальной рабочей спецификации HTML 4.0, опубликованной в 1997 году, этот метод не был рекомендован к использованию. Основные недостатки метода GET перечислены ниже:
Метод GET не применим для создания окон регистрации, поскольку имя пользователя и пароль полностью видны на экране, а также не исключена возможность сохранения этих данных в памяти браузера клиента в качестве информации о посещенной странице.
Каждая операция передачи данных по методу GET, включая сам набор данных, регистрируется в журнале веб-сервера.
В методе GET предусмотрено присваивание данных переменной среды сервера, поэтому длина URL ограничена. Возможно, вам доводилось видеть, как выглядят очень длинные URL, переданные с помощью метода GET, и действительно, вряд ли кому-то захочется передавать с помощью этого метода фрагмент текста в формате HTML, состоящего из 300 слов.
В первоначальной спецификации HTML указано, что длина строки запроса не должна превышать 255 символов. Безусловно, это ограничение в дальнейшем было снято и осталась лишь рекомендация придерживаться предела в 255 символов, но применение более длинных строк все равно может стать причиной нарушения в работе.
Параметры POST
В настоящее время предпочтительным методом отправки данных формы является POST (особенно при случаях, в которых осуществление действий приводит к постоянным изменениям, таких как ввод информации в базу данных). Набор данных формы включается в тело формы при перенаправлении формы к обрабатывающему агенту (в данном случае к интерпретатору PHP). Строка URL не претерпевает каких-либо видимых изменений, отражающих разнообразие передаваемых данных.
Среди разработчиков распространена ничем не оправданная уверенность в том, что метод POST более безопасен, чем GET. В действительности ни один из этих методов не является более или менее безопасным, чем другой. Посетитель может столь же успешно просматривать переменные и данные, отправляемые с помощью метода POST, как и с помощью метода GET. Единственное различие состоит в том, что в первом случае передаваемые данные не обнаруживаются в адресной строке. Но это не означает, что они скрыты. Данные, отправленные с помощью метода POST, могут просматриваться и модифицироваться пользователем веб-сайта.
Первым и наиболее важным правилом программирования, особенно программирования для сети, является следующее:
Никогда не доверять входным данным.
Следует всегда исходить из того, что посетитель, возможно, со злым умыслом или пусть даже случайно изменил данные, передаваемые в конкретное приложение, поэтому необходимо тщательно проверять эти данные.
Данные передаваемой формы становятся в большей или меньшей степени безопасными, только если запрос защищен с использованием SSL, TLS или какого-то другого способа шифрования. Но к конечному пользователю или посетителю данные все равно поступают в открытом виде, поэтому для него так или иначе остается возможность просматривать и изменять данные. Дело в том, что с помощью протокола SSL осуществляется просто шифрование данных, передаваемых по сети, что не позволяет рассматривать данные в открытом виде на этапе их прохождения от отправителя к получателю. Что же касается возможности для посетителя вносить изменения в данные формы, то в протоколе SSL для предотвращения этого ничего не предусмотрено.
Чтобы изменить способ передачи данных в предыдущем примере, нужно внести следующие изменения:
Исходная HTML-разметка документа<form action="sports.php" method="post">
...
</form>
Страница-обработчик sports.php
<?php
echo isset($_POST['sport']) ? $_POST['sport'] : '';
?>
Работа с несколькими значениями
Если в форме есть флажки или переключатели, возникает новая проблема. Например, пользователь может выбрать в форме сразу два значения, но переменная не может хранить больше одного значения, поэтому придется использовать массив. Эта ситуация демонстрируется в примере ниже:
Исходный код страницы<form action="<?php echo htmlentities($_SERVER['PHP_SELF']) ?>" method="post">
<fieldset>
<legend>Выберите ваших любимых питомцев</legend>
<label for="dog">
<input id="dog" type="checkbox" name="animal[]" value="Собака"> Собака</label>
<label for="cat">
<input id="cat" type="checkbox" name="animal[]" value="Кошак"> Кошак</label>
<label for="anaconda">
<input id="anaconda" type="checkbox" name="animal[]" value="Анаконда"> Анаконда</label>
<label for="human">
<input id="human" type="checkbox" name="animal[]" value="Человек"> Человек</label>
<label for="elephant">
<input id="elephant" type="checkbox" name="animal[]" value="Слон"> Слон</label>
<label for="wildebeest">
<input id="wildebeest" type="checkbox" name="animal[]" value="Антилопа"> Антилопа</label>
<label for="pigeon">
<input id="pigeon" type="checkbox" name="animal[]" value="Голубь"> Голубь</label>
<label for="crab">
<input id="crab" type="checkbox" name="animal[]" value="Краб"> Краб</label>
</fieldset>
<input type="submit" value="Отправить информацию">
</form>
<?php
$animal = isset($_POST['animal']) ? $_POST['animal'] : '';
if (!empty($animal))
{
echo '<br><br>Выбраны животные: ';
foreach ($animal as $a)
{
echo "<span style=\"color:orange\">".htmlentities($a)." </span>";
}
}
?>
Эта форма позволяет пользователю выбрать любимых питомцев. В данном примере пользователь может пометить сразу несколько флажков. Значит, при обработке данных формы в PHP-сценарии необходимо предусмотреть возможность получить доступ к нескольким значениям по одному имени. Мы поместили пару квадратных скобок ([]) после имени в атрибуте name, чтобы иметь возможность отправлять несколько вариантов выбора в виде массива. Если бы квадратные скобки были опущены, и пользователь пометил бы несколько флажков, его выбор был бы замещен последним отмеченным флажком. Поместив квадратные скобки после имени, мы указали, что значения должны храниться в виде массива.
В обработчике массив сохраняется в переменную $animal и перечисляется с помощью цикла foreach, как обычный массив.
Валидация формы и форматирование переменных формы
Приложение, получая данные от пользователя, каждый раз должно проверять их на корректность. Если не проверять данные, введенные пользователем, можно получить много проблем, в том числе, угрозу безопасности. Выполнить проверку данных не так сложно, как может показаться.
Более удобной для пользователей является проверка на стороне клиента с использованием JavaScript, но вне зависимости от того будет ли данная проверка использована, проверку на стороне сервера нужно выполнять обязательно.
При создании форм HTML необходимо также учитывать следующее: если в форме должны быть отображены заранее заполненные входные данные, то необходимо установить атрибут value. Это замечание особенно справедливо по отношению к двум разновидностям форм — тем, которые используются для редактирования данных, полученных из базы данных, и тем, которые предназначены для возможной отправки данных больше одного раза. Последний случай очень часто встречается в таких ситуациях, когда форма должна быть повторно выведена после обнаружения ошибок в уже заранее, заполненных данных. В качестве примера можно указать форму регистрации, данные которой не принимаются на обработку до тех пор, пока пользователь не укажет допустимый адрес электронной почты или другие необходимые данные.
В примере ниже показан способ обработки формы, включающий валидацию на стороне сервера и обработку на той же странице формы:
Код PHP<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>Основы PHP</title>
<style>
* { font-family: Calibri }
fieldset { margin-bottom: 15px; padding: 10px }
legend { padding: 0px 3px; font-weight: bold; font-variant: small-caps }
label { width: 80px; display: inline-block; vertical-align: top; margin: 6px }
input, textarea { width: 249px }
input[type=submit] { width: 170px; padding: 10px }
.error { border:1px solid red }
</style>
</head>
<body>
<?php
$valid_name = ''; $valid_email = '';
// Следующая проверка, в которой учитывается значение дескриптора
// Submit из приведенной ниже формы, позволяет узнать, не произошло
// ли развертывание формы впервые (это позволяет сохранить введенные данные пользователем,
// при повторной отправке формы)
if (!isset($_POST['submit']))
{
$_POST['name'] = '';
$_POST['email'] = '';
}
else
{
$name = htmlentities($_POST['name']);
$email = htmlentities($_POST['email']);
// Выполняем проверку формы, поля не должны быть пустыми,
// а поле email должно содержать строку формата адреса электронной почты
// (эти переменные указываются в форме в полях input в качестве атрибута class)
$valid_name = !empty($name) ? '' : 'error';
if (empty($email) || !filter_var($email, FILTER_VALIDATE_EMAIL))
{
$valid_email = 'error';
}
}
?>
<form action="<?php echo htmlentities($_SERVER['PHP_SELF']) ?>" method="post">
<fieldset>
<legend>Контактная информация</legend>
<label for="name">Имя</label>
<input id="name" name="name"
value="<?php echo $_POST['name']; ?>"
class="<?php echo $valid_name; ?>"><br>
<label for="email">Email</label>
<input id="email" name="email"
value="<?php echo $_POST['email']; ?>"
class="<?php echo $valid_email; ?>"><br>
</fieldset>
<input type="submit" name="submit" value="Отправить информацию">
</form>
</body>
</html>
В этом примере используется функция filter_var() которая осуществляет проверку переменной с использованием фильтра и принимает два параметра - исходную строку и константу, указывающую на тип фильтра. Кроме валидации email-адресов (FILTER_VALIDATE_EMAIL) эта функция поддерживает следующие константы: FILTER_VALIDATE_URL - проверяет значение на корректность URL (например, ), FILTER_VALIDATE_IP - проверяет значение на корректность IP-адресов, FILTER_VALIDATE_REGEXP - проверяет значение на корректность синтаксису регулярного выражения и несколько других констант, являющихся альтернативами функций is_bool(), is_float(), is_int() и т.п.
Комментарии (0)