اعتبار سنجی فرم در php آموزش form validation

17 اسفند 1399

آقایی

آموزش برنامه نویسی php

3.04k بازدید

اعتبار سنجی فرم در php یکی از مباحث مهم و حیاتی در برنامه نویسی php است. اعتبارسنجی فرم ها از حملات هکرها و اسپمرها جلوگیری می کند. در این آموزش قصد داریم پیرامون مبحث اعتبار سنجی فرم در php صحبت کنیم پس با ما همراه باشید.

مثال آموزشی برای اعتبارسنجی فرم

برای درک بهتر نحوه اعتبارسنجی فرم در php ، یک مثال کاربردی ارائه می کنیم. برای شروع کار یک فرم html طراحی کرده و محدودیت هایی را برروی فیلدها اعمال می کنیم.

ساخت فرم در html

ساخت فرم در html مرحله اول کار ماست. در آموزش های قبلی بطور کامل با نحوه ساخت فرم در php آشنا شدیم. در طراحی فرم این فیلدها را قرار می دهیم: نام، ایمیل، وبسایت، نظرات و جنسیت. حال یکسری محدودیت ها برای اعتبارسنجی داده های واردشده در فیلدها تعیین می کنیم:

فیلد نام: الزامی است و تنها با حروف الفبا و خط فاصله مقداردهی شود.
فیلد ایمیل: الزامی است و باید بصورت فرمت ایمیل باشد یعنی حاوی علامت های @ و . باشد.
فیلد وبسایت: اختیاری است و مقدار وارد شده باید به فرمت URL باشد.
فیلد نظرات: اختیاری است و تنها فرمت متن را می توان وارد کرد و محدودیتی زیادی برای تعداد کاراکتر ندارد.
فیلد جنسیت: الزامی است و یکی از دو گزینه موجود را باید انتخاب کند.

عدم رعایت هر کدام از موارد بالا در هنگام ورود اطلاعات، با پیغام خطا مواحه می شود. حال نحوه ساخت فرم در html را بررسی می کنیم. کدهای html فرم به صورت زیر است:

نام: <input type="text" name="name">
ایمیل: <input type="text" name="email">
وب سایت: <input type="text" name="website">
نظرات: <textarea name="comment" rows="5" cols="40"></textarea>
جنسیت:
<input type="radio" name="gender" value="female">زن
<input type="radio" name="gender" value="male">مرد

همانطور که مشاهده می کنید برای فیلدهای نام، ایمیل و وبسایت از نوع داده ای text استفاده شده، برای فیلد نظرات از textarea استفاده کردیم چون تعداد کاراکترهای ورودی بیشتر است و برای فیلد جنسیت از radio استفاده کردیم و دو مقدار زن و مرد را برای آن تعیین کردیم.

کد استفاده از فرم html در php ، به صورت زیر است:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

همانطور که ملاحظه می کنید، متد ارسال اطلاعات در این فرم POST است و از یک متغیر سوپرگلوبال SERVER_$ استفاده شده است. این متغیر داده های مربوط به عناوین، محل دستور و مسیرها را در خود نگهداری می کند. از تابع htmlspecialchars برای متغیر SERVER_$ استفاده کردیم که در بخش های به بررسی کاربرد آن می پردازیم.

نکته قابل توجه در این کد این است که از دستور PHP_SELF استفاده کرده ایم. این دستور به هکرها کمک می کند که بتوانند در قسمت address bar مرورگر، کدهای XSS خود را بعد از یک علامت / در ادامه آدرس تایپ کنند. شاید بپرسید کدهای XSS چیست؟ در ادامه به این سوال پاسخ خواهیم داد.

این پست رو حتما ببین : آموزش html و css

کدهای xss

کدهای xss نوعی از کدهای ورودی هستند که هکرها بوسیله آنها می توانند دستورات خود را به کامپیوتر قربانی وارد کنند. به این نوع حملات XSS (Cross-site scripting) گفته می شود و هکر از آسیب پذیری های کدها برای تزریق اسکریپت خود و سرقت اطلاعات کاربران استفاده می کند. برای درک بهتر این نوع از حملات مثال زیر را در نظر بگیرید.

در فایلی بنام test_form.php دستورات زیر را قرار می دهیم:

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

چنانچه کاربر آدرس زیر را در مرورگر وارد کند:

“http://www.example.com/test_form.php”

کد قرار داده شده در فایل بصورت زیر ترجمه می شود.

<form action="test_form.php" method="post">

این پست رو حتما ببین : ۷ سایت برتری که با PHP طراحی شده اند را بشناسید!

حال تصور کنید که کاربر یک اسکریپت دیگر نیز به کد اضافه کند یا به اصطلاح قطعه کدی را به آن تزریق کند. بطور مثال آدرس زیر را در مرورگر وارد کند:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert(‘hacked’)%3C/script%3E

در این حالت کد به فرم زیر ترجمه می شود:

</form><form action="test_form.php/" method="post"><script>alert('hacked')</script>

در این دستور، یک تابع alert به کد ما اضافه شده است و در زمان لود صفحه، این اسکریپت اجرا شده و یک پیغام هشدار با عنوان hacked به کاربر نشان می دهد حتما تاکنون متوجه نحوه کار کدهای xss شده اید. در این مثال متغیر PHP_SELF، هک شده است.
مثال بالا ساده ترین حالت تزریق کدهای xss است، شما می توانید هر نوع اسکریپتی را وارد کرده و مثلا کاربر را به سروری دیگر انتقال دهید تا بتوانید اطلاعات او را سرفت کنید. اعتبارسنجی فرم در php برای پیشگیری از چنین حملاتی صورت می گیرد. برای رفع این آسیب پذیری می توان از تابع ()htmlspecialchars استفاده کرد.

کاربرد تابع htmlspecialchars

کاربرد تابع htmlspecialchars برای تبدیل کاراکترهای ورودی به کاراکترهای فرمت html است که به آن ها html entity گفته می شود. به عنوان مثال با کمک این تابع می توان کاراکترهایی نظیر علامت < یا > را به فرمت html آن یعنی lt$ و gt$ تبدیل کرد. مهم ترین کاربرد تابع htmlspecialchars برای اعتبار سنجی فرم در php است و به کمک آن می توان از بروز حملاتی نظیر xss جلوگیری کرد. در مثال بالا فرم اصلاح شده کد بصورت زیر است:

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

حال چنانچه کاربر همان دستور حاوی کدهای XSS بالا را وارد کند این کدها به صورت زیر ترجمه می شود.

<“form method=”post” action=”test_form.php/”><script>alert(‘hacked’)</script>

بنابراین هیچ مشکلی به وجود نمی آورد.

اعتبارسنجی داده ها

برای اعتبارسنجی فرم در php ، در قدم اول باید متغیرها را به داخل تابع ()htmlspecialchars هدایت کنیم. این کار باعث می شود که کاراکترها به فرمت html entity تبدیل شود و کاربر نتواند دستور خود را اجرا کند. مثال این تابع را در قسمت قبلی مشاهده کردید. اقدامات دیگری نیز می توان برای افزایش امنیت انجام داد از جمله:

حذف کاراکترهای غیرضروری مانند فاصله های اضافه و خطوط خالی با کمک تابع ()trim
حذف \ ها با استفاده از تابع ()stripslashes

به ازای هر ورودی ما باید این سه تابع را بر روی آن اعمال کنیم. پس برای اینکه از تکرار آن ها پرهیز شود بهتر است که هر سه را در یک تابع قرار دهیم و برای هر متغیر POST_$ این تابع را فراخوانی کنیم. این تابع را ()test_input می نامیم و به صورت زیر آنرا تعریف می کنیم:

function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}

حال برای اعتبارسنجی فرم در php در قسمت ورود تک تک داده ها این تابع را فراخوانی می کنیم. کد کامل دستورات طراحی فرم و اعتبارسنجی داده های آن را در زیر مشاهده می کنید:

<!DOCTYPE HTML>
<html>
<head>
</head>
<body>

<?php
// define variables and set to empty values
$name = $email = $gender = $comment = $website = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}

function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>

<h2>websoft3.com Form Validation Example</h2>
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
Name: <input type="text" name="name">
<br><br>
E-mail: <input type="text" name="email">
<br><br>
Website: <input type="text" name="website">
<br><br>
Comment: <textarea name="comment" rows="5" cols="40"></textarea>
<br><br>
Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male
<br><br>
<input type="submit" name="submit" value="Submit">
</form>

<?php
echo "<h2>Your Input:</h2>";
echo $name;
echo "<br>";
echo $email;
echo "<br>";
echo $website;
echo "<br>";
echo $comment;
echo "<br>";
echo $gender;
?>

</body>
</html>

خروجی نهایی کار اعتبار سنجی فرم در php :

در این آموزش به بررسی نحوه اعتبارسنجی فرم در php پرداختیم. چنانچه شما نیز قصد طراحی فرم در php را دارید بهتر است تمامی موارد گفته شده را رعایت کنید تا به لحاظ امنیت دچار مشکل نشوید.