Xác thực biểu mẫu PHP
Chương này và các chương tiếp theo trình bày cách sử dụng PHP để xác thực dữ liệu biểu mẫu.
Xác thực biểu mẫu PHP
Hãy suy nghĩ về AN NINH khi xử lý các biểu mẫu PHP!
Các trang này sẽ hiển thị cách xử lý các biểu mẫu PHP có lưu ý đến tính bảo mật. Việc xác thực đúng dữ liệu biểu mẫu là rất quan trọng để bảo vệ biểu mẫu của bạn khỏi tin tặc và kẻ gửi thư rác!
Biểu mẫu HTML mà chúng ta sẽ làm việc trong các chương này chứa nhiều trường đầu vào khác nhau: trường văn bản bắt buộc và tùy chọn, nút radio và nút gửi:
Các quy tắc xác thực cho biểu mẫu trên như sau:
Field | Validation Rules |
---|---|
Name | Required. + Must only contain letters and whitespace |
Required. + Must contain a valid email address (with @ and .) | |
Website | Optional. If present, it must contain a valid URL |
Comment | Optional. Multi-line input field (textarea) |
Gender | Required. Must select one |
Đầu tiên chúng ta sẽ xem xét mã HTML đơn giản cho biểu mẫu:
Trường văn bản
Các trường tên, email và trang web là các thành phần nhập văn bản và trường nhận xét là một vùng văn bản.
Mã HTML trông như thế này:
Name: <input type="text" name="name">
E-mail: <input type="text" name="email">
Website: <input type="text" name="website">
Comment: <textarea name="comment" rows="5" cols="40"></textarea>
Nút chọn
Các trường giới tính là các nút radio và mã HTML trông như thế này:
Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male
<input type="radio" name="gender" value="other">Other
Phần tử biểu mẫu
Mã HTML của biểu mẫu trông như thế này:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
Khi biểu mẫu được gửi, dữ liệu biểu mẫu sẽ được gửi bằng phương thức = "post".
Biến $_SERVER["PHP_SELF"]
là gì?
$_SERVER["PHP_SELF"]
là một biến siêu toàn cục trả về tên tệp của tập lệnh hiện đang thực thi.
Vì vậy, $_SERVER["PHP_SELF"]
gửi dữ liệu biểu mẫu đã gửi đến chính trang đó, thay vì chuyển sang một trang khác. Bằng cách này, người dùng sẽ nhận được thông báo lỗi trên cùng một trang với biểu mẫu.
Hàm htmlspecialchars()
là gì?
Hàm htmlspecialchars()
chuyển đổi các ký tự đặc biệt thành các thực thể HTML. Điều này có nghĩa là nó sẽ thay thế các ký tự HTML như <
và >
bằng <
và >
. Điều này ngăn chặn kẻ tấn công khai thác mã bằng cách chèn mã HTML hoặc Javascript (tấn công Cross-site Scripting) vào biểu mẫu.
Cảnh báo!
Biến $_SERVER["PHP_SELF"]
có thể bị tin tặc sử dụng!
Nếu PHP_SELF được sử dụng trong trang của bạn thì người dùng có thể nhập dấu gạch chéo /
và sau đó nhập một số lệnh Cross Site Scripting (XSS) để thực thi.
Cross-site scripting (XSS) là một loại lỗ hổng bảo mật máy tính thường thấy trong các ứng dụng Web. XSS cho phép kẻ tấn công chèn tập lệnh phía máy khách vào các trang Web được người dùng khác xem.
Giả sử chúng ta có biểu mẫu sau trong trang có tên "test_form.php":
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
Bây giờ, nếu người dùng nhập URL bình thường vào thanh địa chỉ như "https://www.example.com/test_form.php", đoạn mã trên sẽ được dịch sang:
<form method="post" action="test_form.php">
Càng xa càng tốt.
Tuy nhiên, hãy cân nhắc rằng người dùng nhập URL sau vào thanh địa chỉ:
https://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
Trong trường hợp này, đoạn mã trên sẽ được dịch sang:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>
Mã này thêm thẻ script và lệnh cảnh báo. Và khi tải trang, mã JavaScript sẽ được thực thi (người dùng sẽ thấy hộp cảnh báo). Đây chỉ là một ví dụ đơn giản và vô hại về cách khai thác biến PHP_SELF.
Hãy lưu ý rằng bất kỳ mã JavaScript nào cũng có thể được thêm vào bên trong thẻ <script>! Chẳng hạn, tin tặc có thể chuyển hướng người dùng đến một tệp trên máy chủ khác và tệp đó có thể chứa mã độc có thể thay đổi các biến toàn cục hoặc gửi biểu mẫu đến một địa chỉ khác để lưu dữ liệu người dùng.
Làm cách nào để tránh khai thác $_SERVER["PHP_SELF"]?
Có thể tránh được việc khai thác $_SERVER["PHP_SELF"]
bằng cách sử dụng hàm htmlspecialchars()
.
Mã biểu mẫu sẽ trông như thế này:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
Hàm htmlspecialchars()
chuyển đổi các ký tự đặc biệt thành thực thể HTML. Bây giờ nếu người dùng cố gắng khai thác biến PHP_SELF, nó sẽ cho kết quả như sau:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">
Nỗ lực khai thác không thành công và không gây hại gì!
Xác thực dữ liệu biểu mẫu bằng PHP
Điều đầu tiên chúng ta sẽ làm là chuyển tất cả các biến thông qua hàm htmlspecialchars()
của PHP.
Khi chúng ta sử dụng hàm htmlspecialchars()
; sau đó nếu người dùng cố gắng gửi thông tin sau vào trường văn bản:
<script>location.href('https://www.hacked.com')</script>
- điều này sẽ không được thực thi vì nó sẽ được lưu dưới dạng mã thoát HTML, như thế này:
<script>location.href('https://www.hacked.com')</script>
Mã bây giờ an toàn để được hiển thị trên một trang hoặc bên trong e-mail.
Chúng tôi cũng sẽ thực hiện thêm hai việc nữa khi người dùng gửi biểu mẫu:
- Loại bỏ các ký tự không cần thiết (thêm khoảng trắng, tab, dòng mới) khỏi dữ liệu đầu vào của người dùng (với hàm PHP
trim()
) - Xóa dấu gạch chéo ngược
\
khỏi dữ liệu đầu vào của người dùng (bằng hàmstripslashes()
của PHP)
Bước tiếp theo là tạo một hàm sẽ thực hiện tất cả việc kiểm tra cho chúng ta (điều này thuận tiện hơn nhiều so với việc viết đi viết lại cùng một mã).
Chúng ta sẽ đặt tên cho hàm test_input()
.
Bây giờ, chúng ta có thể kiểm tra từng biến $_POST
bằng hàm test_input()
và tập lệnh trông như thế này:
Ví dụ
// define variables and set to empty values
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
Chạy ví dụ » Lưu ý rằng khi bắt đầu tập lệnh, chúng tôi kiểm tra xem biểu mẫu đã được gửi hay chưa bằng cách sử dụng $_SERVER["REQUEST_METHOD"]
. Nếu REQUEST_METHOD
là POST
thì biểu mẫu đã được gửi - và nó sẽ được xác thực. Nếu nó chưa được gửi, hãy bỏ qua xác nhận và hiển thị một biểu mẫu trống.
Tuy nhiên, trong ví dụ trên, tất cả các trường nhập đều là tùy chọn. Tập lệnh hoạt động tốt ngay cả khi người dùng không nhập bất kỳ dữ liệu nào.
Bước tiếp theo là tạo các trường nhập bắt buộc và tạo thông báo lỗi nếu cần.