PHP 简明教程

PHP 表单 - 验证邮件和 URL

1. PHP 验证姓名

在处理用户提交的姓名时,通常需要确保其仅包含字母和空格。我们可以利用 PHP 的 preg_match() 函数配合正则表达式来实现这一需求。

正则表达式 "/^[a-zA-Z-' ]*$/" 会检索字符串是否仅由字母、单引号、连字符和空格组成。如果姓名合法,则继续处理;如果不合法,则向用户反馈错误信息。

以下是具体的代码逻辑实现:

$name = test_input($_POST["name"]);
if (!preg_match("/^[a-zA-Z-' ]*$/", $name)) {
  $nameErr = "只允许字母和空格";
}

2. PHP 验证电子邮件

验证电子邮件最简单且最安全的方法是使用 PHP 的内置函数 filter_var()。该函数配合 FILTER_VALIDATE_EMAIL 过滤器可以快速判断邮件地址是否符合标准的 RFC 语法格式。

其处理逻辑如下:

$email = test_input($_POST["email"]);
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
  $emailErr = "无效的邮件格式";
}

3. PHP 验证 URL

验证网址(URL)同样可以使用正则表达式来确保其格式正确。一个标准的 URL 验证逻辑需要检测是否包含协议头(如 http、https 或 ftp)以及合法的路径字符。

正则表达式如下:"/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i"

代码实现示例:

$website = test_input($_POST["website"]);
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i", $website)) {
  $websiteErr = "无效的 URL 格式";
}

4. 结合验证逻辑的完整脚本示例

通过将必填项验证(empty())与格式验证结合,我们可以构建一个稳健的表单处理脚本。

4.1 后端处理逻辑

<?php
// 定义错误变量并初始化
$nameErr = $emailErr = $genderErr = $websiteErr = "";
$name = $email = $gender = $comment = $website = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
  if (empty($_POST["name"])) {
    $nameErr = "姓名是必填项";
  } else {
    $name = test_input($_POST["name"]);
    // 检查姓名是否仅包含字母和空格
    if (!preg_match("/^[a-zA-Z-' ]*$/", $name)) {
      $nameErr = "只允许字母和空格";
    }
  }

  if (empty($_POST["email"])) {
    $emailErr = "邮件是必填项";
  } else {
    $email = test_input($_POST["email"]);
    // 检查邮件格式是否合法
    if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
      $emailErr = "无效的邮件格式";
    }
  }

  if (empty($_POST["website"])) {
    $website = "";
  } else {
    $website = test_input($_POST["website"]);
    // 检查 URL 地址语法是否有效
    if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i", $website)) {
      $websiteErr = "无效的 URL";
    }
  }

  if (empty($_POST["comment"])) {
    $comment = "";
  } else {
    $comment = test_input($_POST["comment"]);
  }

  if (empty($_POST["gender"])) {
    $genderErr = "性别是必填项";
  } else {
    $gender = test_input($_POST["gender"]);
  }
}
?>

4.2 数据清洗函数

所有输入数据都必须经过统一的 test_input() 函数处理,以防范 XSS 攻击并清理冗余字符:

function test_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}

通过这种分层验证机制,我们可以确保后端接收到的每一项数据在存储或进一步处理前,均已通过安全性和格式的双重审计。