اعتبار سنجی فرم ها با عبارات منظم در PHP

daskhatmin فواد طهماسبی
49,221 بازدید
اعتبار سنجی فرم ها با عبارات منظم در PHP

یکی از مهمترین قسمتهای برنامه نویسی وب با PHP، اعتبار سنجی و کنترل داده های ورودی توسط کاربر است؛ فرم ها، اصلی ترین ابزار برقراری ارتباط با کاربران سایت میباشند و اطمینان از اینکه کاربر فرم را در قالب صحیح پر کرده باشد از مشکلات آتی جلوگیری میکند. علاوه بر این در مواقعی، فردی که فرم را پر میکند، لزوما کاربر اصلی سایت نیست و هدفی به غیر از هدف اصلی فرم دارد. باید توجه داشت که اگر داده های ورودی از فرم ها به خوبی بررسی و پاکسازی نشوند، میتوانند به عنوان مهمترین وسیله نفوذ به سیستم تلقی شوند. برای جلوگیری از این مسائل باید داده های ورودی از فرم ها را قبل از پردازش و ارسال به پایگاه داده، بررسی  و پاکسازی کنیم. استفاده از عبارات منظم (Regular Expressions) میتواند برای این موضوع مناسب باشد، که در زیر به انواع داده های فرم و نحوه اعتبار سنجی آن توسط عبارات منظم در PHP اشاره شده است:

۱- اعتبار سنجی و پاکسازی و بررسی وجود ایمیل با PHP

اعتبار سنجی فرم ایمیل:
اعتبار سنجی فرم ایمیل را میوانید به ۳ روشی که در زیراشاره میشود انجام دهید. اولین روش به این صورت است:

یک روش بهتر هم هست که میتوانید ازآن استفاده کنید:

و اگر از PHP 5.2 به بالا استفاده میکنید میتوانید از این روش فرم ایمیل رو اعتبار سنجی کنید:

پاکسازی ایمیل:
ما حتی میتوانیم برای اطمینان بیشتر ایمیل گرفته شده را پاکسازی کنیم:

و یا در PHP 5.2 به بالا از روش زیر برای پاکسازی استفاده کنید:

بررسی وجود ایمیل با php :
این کار امکان پذیر نیست ولی میشود تا حد زیادی با بررسی دامنه ایمیل از وجود آن مطلع شد:


 ۲ – اعتبار سنجی و پاکسازی اعداد با PHP

اعتبار سنجی اعداد:
برای بررسی اعداد در یک فرم میتوانیم از توابع داخلی PHP استفاده کنیم:

و در PHP 5.2 وبالاتر به این شکل عمل میکنیم:

 پاکسازی اعداد:
با استفاده از تابع زیر میتوانیم اعداد داخل فرم را پاکسازی کنیم:

و در  PHP 5.2 به بالا:


 ۳ – اعتبار سنجی و پاکسازی رشته ها در PHP

اعتبار سنجی رشته ها:
بیشتر در اعتبار سنجی نام و نام خانوادگی و .. به کار میرود و فقط حروف و فاصله را قبول میکند:

 پاکسازی رشته ها:
برای پاک کردن فرم از کاراکترهای غیر رشته ای به کار میرود:

در PHP 5.2 و بالاتر میتوان از توابع قدرتمند داخلی PHP استفاده کرد:


 ۴ – اعتبار سنجی و پاکسازی اعداد و حروف در PHP:

اعتبار سنجی اعداد و حروف:
تابع زیر فرم را بررسی میکند تا فقط حروف و اعداد به کار رفته باشد:

 پاکسازی حروف و اعداد:
با تابع زیر میتوان داده گرفته شده از فرم را پاکسازی کرد به طوری که فقط حروف و اعداد باقی بمانند،  به این صورت که کارکترهایی مانند (! و @ و ؟ و…) حذف میشوند:


  ۵ – اعتبار سنجی و پاکسازی و بررسی وجود URL در PHP

 اعتبار سنجی URL:
تابع زیر از صحیح بودن فرمت آدرس URL اطمینان حاصل میکند:

و در PHP 5.2 به بالا به صورت:

پاکسازی URL:
در PHP 5.2 به بالا به صورت زیر است:

 بررسی وجود URL:
با تابع زیر میتوانید از وجود یک url اطمینان حاصل کنید:

بررسی وجود عکس در URL:
با تابع زیر میتونید متوجه بشوید که در Url گرفته شده عکسی وجود دارد یا خیر:


  ۶ – اعتبار سنجی آدرس IP در PHP

تابع زیر آدرس IP خاصی را بررسی میکند:

و در PHP 5.2 و بالاتر:


  ۷ – اعتبار سنجی نام کاربری در PHP:

قبل از مقایسه نام کاربری در پایگاه داده از این اعتبار سنجی برای کمتر کردن فشار بر روی پایگاه داده استفاده میشود:


 ۸ – اعتبار سنجی امنیت رمز عبور در PHP

برای بررسی امنیت رمزعبور داده شده توسط کاربر میتوانید از تابع زیر استفاده کنید که بررسی میکند تا رمز عبور حداقل ۸ کاراکتر تشکیل شود واز حروف بزرگ و کوچک و اعداد نیز استفاده کند.


  ۹ – اعتبار سنجی تاریخ در PHP

اعتبار سنجی تاریخ با فرمت “MM-DD-YYYY” یا “MM-DD-YY” از ۰۰۰۰ تا ۹۹۹۹ :

اعتبار سنجی تاریخ با فرمت “YYYY-DD-MM” یا “YY-MM-DD” از ۰۰۰۰ تا ۹۹۹۹ :


 ۱۰ – اعتبار سنجی کدپستی برای ایران در PHP

با تابع زیر میتوانید از صحیح بودن قالب بندی کد پستی اطمینان حاصل کنید:


  ۱۱ – ایمن سازی و پاکسازی Query و Data قبل از ارسال به پایگاه داده در PHP

تابع زیر داده های ما را برای جلوگیری از Sql Injection پاکسازی میکند:

و این تابع از حملات XSS و JS و Sql Injection با پاک کردن تگها جلوگیری میکند:

 


برگرفته از: Hungred

daskhatmin

فواد طهماسبی

من فواد طهماسبی هستم. مهندسی نرم افزار خوندم و علاقه زیادی به برنامه نویسی تحت وب دارم. مطالبی که مینویسم یا ترجمه میکنم، اکثرا نکات یا مطالبی هست که زمانی خودم با اون مواجه شدم و مجبور شدم یاد بگیرم. امیدوارم که به درد شما هم بخوره!

33 دیدگاه برای “اعتبار سنجی فرم ها با عبارات منظم در PHP”

  1. مهران گفت:

    چطور فیلد های خالی رو چک کنیم بعد پیام مناسبو رو صفحه چاپ کنیم مثلا بگیم نام کاربری نمیتواند خالی باشد…………….تو گوگل کلی گشتم اصلا به این اشاره ای نشده

  2. فاطمه عارفی گفت:

    با سلام کد php که نمرات درسی فقط و فقط عدد وارد شود و بین ۰ تا ۲۰ باشد .
    با تشکر…

  3. شادی گفت:

    برای طراحی صفحه تغییر پسورد سایتی که دارم می سازم مشکل دارم
    لطفا اگر میتونید کمکم کنید…..

  4. shadi گفت:

    با کدنویسی php یعنی نمیشه وقتی کاربر داره یه فیلدو پر میکنه اگر نادرست باشه ارور بده؟؟؟
    مثلا شماره موبایلو ۵۵۵۵اینجوری وارد کنه بهش ارور بده یا تاریخو یا …

    1. فؤاد طهماسبی گفت:

      چرا نمیشه! خب همین مطلب داره این کار رو توضیح میده!

  5. shadi گفت:

    این مطلبو که عرض کردید میدونم ولی منظورم اینکه قطعه کدی که مثلا برا اعتبارسنجی تاریخ هستش رو باید توی یک فایل جدا با پسوند php بذارم یا تو همون فایلی که میخوام برا صفحه ش اعتبار سنجی کنم؟اگه تو همون فایله ، باید تو تگ هد بذارمش یا تو تگ بادی یا تو قسمت فرم یا کلا قبل تگ html بذارم یا ….؟

    1. فؤاد طهماسبی گفت:

      حتما پردازش های php رو قبل از شروع html بنویسید. هم میتونید تو فایل جدا بنویسید و اینجا include کنید و هم میتونید هم اینجا بنویسید. این بستگی به روش برنامه نویسی شما داره.

  6. shadi گفت:

    لطفا برای اعتبار سنجی اینکه ورودی یک تکست فیلد حتما به زبان فارسی باشه یا حتما به زبان انگلیسی باشه هم کمکمون کنید
    ممنون

    1. فؤاد طهماسبی گفت:

      تا جایی که من میدونم، حتما فارسی رو نمیشه گفت. باید بزنید هرچیزی (به جای فارسی)(*.) ولی حتما انگلیسی میشه این عبارت که تو مطلب هم اشاره شده:

  7. shadi گفت:

    سلام
    من با دریم ویور کار میی کنم و بیشترم کدهام به زبان phpهست ولی برای اعتبارسنجی بیشتر از جاوااسکریپت استفاده کردم
    میخوام کمکم کنید تا بدونم این کدارو کجای کدام باید قرار بدم.مثلا اعتبارسنجی تاریخو میخوام استفاده کنم کدارو کجا قرارش بدم
    لطفا راهنماییم کنید
    ممنون

    1. فؤاد طهماسبی گفت:

      سلام،
      ای کدها به صورت php و سمت سرور اجرا میشه. یعنی شما قبل از استفاده این ورودی ها باید اعتبار سنجی کنید اگر درست بود استفاده کنید، اگر نه خطا بده.

  8. bn گفت:

    کتاب امنیت در php هنوز وی دست کتاب اقای مهندس ملک ابادی ندیدم
    کامل و کوتاه با بیان بسیار زیبا
    http://www.codecity.ir/post_show.php?id=3903

    به نظرم بزارید برای دانلود

  9. عباسی گفت:

    درود بر شما
    بسیار عالی بود موفق و پیروز باشید

  10. طاهره گفت:

    سلام
    میخام اعتبارسنجی چندتا textbox نام و نام خانوادگی به زبان فارسی و کد ملی رو بدون استفاده از تگ فرم با زبان جاوا اسکریپت انجام بدم لطفا راهنماییم کنید.
    کلا با عبارت های منظم توی جاوا اسکریپت نمی تونم کار کنم

  11. محمد گفت:

    واقعا عالی بود ، کفم برید !!!

  12. مجید گفت:

    با سلام
    من آشنایی مختصری با برنامه نویسی تحت وب دارم
    میخواهم یک برنامه تحت وب بنویسم که یک سری اطلاعات رو ثبت کنه و بعداً گزارش گیری بشه.
    تو برخی کدها نیاز به کمک دارم .
    چطور میتونم از راهنمائیهای شما بهره مند بشم ؟

    1. فؤاد طهماسبی گفت:

      اگر امکانش هست تو انجمن مطرح بشه که بقیه هم استفاده کنند بهتر میشه.
      ولی اگر این امکان نیست و دوست ندارید، من ایمیل میزنم به شما که با اون در ارتباط باشیم. اینطوری خوبه؟:D

  13. sadad گفت:

    سلام. خسته نباشید.
    خوشحالم که با سایت شما آشنا شدم
    مشکل من نوشتن فانکشنی است که هم اعتبارسنجی موبایل رو داشته باشه و هم از تکراری بودن او تو فرم جلوگیری کنه. این کار رو میخوام واسه فرم ساز rsform جوملا داشته باشم.
    باید دوباره یادآوری کنم که هر دوکار رو باهم انجام بده.
    پیشاپیش از راهنمایی شما بسیار ممنونم.

    1. فؤاد طهماسبی گفت:

      سلام،
      دوست عزیز من با این افزونه کار نکردم ولی کد php که شاید کمکتون کنه رو مینویسم:

      کد بالا برای موبایلها بود. برای تشخیص تکراری بودن شماره هم میتونید با php عمل مقایسه انجام بدید. یعنی شرطی بگذارید که اگر دو فیلد مورد نظر معتبر بودن دوباره مقایسه بشه که اگر مساوی نبودند کاری که مد نظر شماست رو انجام بده. مثلا:

  14. مرتضی گفت:

    سلام آقای طهماسبی

    من یه فرم ساختم که اطلاعات رو به SQL میفرسته. برای جلوگیری از حملات XSS و JS و Sql Injection با پاک کردن تگها, چجوری باید از اون تابه آخری استفاده کنم ؟
    من اصلا php کار نکردم. از جاهای مختلف کد پیدا کردم و موفق به ارسال اطلاعات فرم به SQL شدم.
    استفاده از این تابع که تو سایت گذاشتین رو بلد نیستم.
    اگه امکان داره راهنماییم کنید.
    با تشکر فراوان :X

    1. فؤاد طهماسبی گفت:

      سلام، این مطلب رو بخونید:
      http://daskhat.ir/46/security-tips-php-first

  15. عباس اقا گفت:

    خیلی ممنون بابت مطالب
    دمتونم گرم

  16. مریم گفت:

    سلام .مطالب رو خیلی خوب عنوان کردیداستفاده کردم
    سپاسگذارم

  17. سارا گفت:

    سلام ممکنه یه کتاب خوب در زمینه اموزش php به من معرفی کنید

    1. فؤاد طهماسبی گفت:

      سلام،
      اگر مبتدی هستید و میخواهید از ابتدا با php آشنا بشید بهتره از کتابهایی با عنوان مرجع کامل استفاده کنید. ولی بهترین پیشنهاد من وبسایت w3school.com هست.
      در صورتی که با php آشنایی دارید و میخواهید بیشتر با ترفندها و روشهای پیاده سازی آشنا شده و تمرین کنید. انتشارات wrox.com و dummies.com بهترین پیشنهاد کتاب میتونه باشه. کتب این انتشارات در ایران نیز ترجمه و چاپ شده.(من شخصا چند کتاب فارسی از هر دو انتشارات دارم.) خوبی این کتابها اینه که آموزش همراه با پروژه است.
      و این که ببخشید دیر جواب دادم.

  18. فرهاد گفت:

    سلام ممنون که جواب دادین امکانش هست ایمیلتون رو بدید که من یه چندتا اعتبارسنجی که نوشتم رو بفرستم براتون ببین درسته یا نه؟ممنون.

    1. فؤاد طهماسبی گفت:

      براتون ایمیل زدم. ولی خوب خیلی راحت میتونید خودتون تست کنید. مثل کدی که در کامنت قبلی نوشتم.

  19. فرهاد گفت:

    سلام ممکنه در خصوص اعتبارسنجی زیر کمک کنید؟ممنون
    شماره تلفن هر یک از دانشجویان شامل کد شهر بوده و دارای قالبی مشابه با یکی از شماره تلفنهای زیر
    باشد
    ۸۰۵-۶۵۵۹ (۵۴۱)
    (۵۴۱) ۸۰۵ ۶۵۵۹ برعکسه!
    ۵۴۱ ۸۰۵ ۶۵۵۹برعکسه از آخر به اول
    ۸۰۵-۶۵۵۹ ۵۴۱
    ۵۴۱-۸۰۵-۶۵۵۹

    1. فؤاد طهماسبی گفت:

      سلام، چند روش برای این کار هست که بهترینش حذف تمام کاراکترها از اعداد هست. تو این روش کاراکترها رو از ورودی حذف و ذخیره میکنید و هنگام نمایش هرطور که مایل بودید نمایش میدید.
      در مورد ساختار شماره تلفنهایی هم که گفتید میشه با کد زیر اعتبار سنجی کرد:

  20. پیشرو گفت:

    سلام.هر چند که من از مسایل مربوط به کامپیوتر سر در نمیارم،اما راه اندازی سایت را به شما و هیات تحریریه تبریک میگم و برای شما آرزوی موفقیت دارم.

    1. فؤاد طهماسبی گفت:

      سلام، ممنون نهاد جان.

  21. خودم هستم تنها گفت:

    سلام با تشکر از تلاشهای خالصانه شما
    این سایت رو ببینید
    http://www.liliume.com
    لطفا کاملا بررسی کنید
    آیا می شود همچین سایتی رو با ورد پرس با حداقل هزینه ایجاد کرد؟
    با تشکر

    1. فؤاد طهماسبی گفت:

      سلام، ممنون از شما.
      بله، با وردپرس هم میشه این کار رو کرد(با Xoops راه اندازی شده). فقط توجه داشته باشید که دوستان ما در لیلیوم الان ۲،۳ سالی هست که دارن رو این پروژه کار میکنن و با توجه به زحمتی که میکشن به این مرحله رسیدن.

کد HTMLCSSJavaScriptPHP