С HTML-формами вы наверняка уже встречались:
Сохранив данный код в HTML-файле и просмотрев его с помощью вашего любимого браузера, вы увидите привычную HTML-форму:
Тэг
, собственно и задает форму. Его атрибуты - оба необязательные:Тэг - задает элемент формы, определяемый атрибутом type:
Возможны и другие значения (да и - не единственный тэг, задающий элемент формы).
Итак, что же происходит, когда мы нажимаем кнопку "OK"?
Отправка того же запроса вручную (с помошью telnet) выглядит следующим образом (предположим, что доменное имя сайта - www.example.com):
Telnet www.example.com 80 GET /cgi-bin/form_handler.cgi?name=Vasya&okbutton=OK HTTP/1.0\r\n Host: www.example.com\r\n \r\n
Как вы, скорее всего, уже догадались, нажатие submit-кнопки в форме с методом отправки "GET" аналогично вводу соответствующего URL (со знаком вопроса и данными формы в конце) в адресной строке браузера:
Http://www.example.com/cgi-bin/form_handler.cgi?name=Vasya&okbutton=OK
На самом деле, метод GET используется всегда, когда вы запрашиваете с сервера какой-либо документ, просто введя его URL, или щелкнув по ссылке. При использовании
Форма, приведенная в строках 8-12, содержит два элемента: name и okbutton . Атрибут method указывает метод отправки формы POST , атрибут же action , указывающий URL, на который отправляется форма, заполняется значением серверной переменной PHP_SELF - адресом выполняемого в данный момент скрипта.
=$_SERVER["PHP_SELF"]?> - сокращенная форма записи для echo $_SERVER["PHP_SELF"]; ?> .
Предположим, в поле name мы ввели значение Вася, и нажали кнопку OK. При этом браузер отправляет на сервер POST -запрос. Тело запроса: name=Вася&okbutton=OK . PHP автоматически заполняет массив $_POST:
$_POST
[
"name"
] =
"Вася"
$_POST
[
"okbutton"
] =
"OK"
В действительности, значение "Вася" отправляется браузером в urlencode-виде; для кодировки windows-1251 это значение выглядит как %C2%E0%F1%FF . Но, поскольку PHP автоматически осуществляет необходимое декодирование, мы можем "забыть" об этой особенности - пока не придется работать с HTTP-запросами вручную.
Так как в теле запроса указываются только имена и значения, но не типы элементов форм, PHP понятия не имеет, соответствует $_POST["name"] строке ввода, кнопке, или списку. Но эта информация нам, в общем-то, совершенно не нужна. :)
Поскольку знать, что написано на кнопке submit, нам необязательно, в строке 11 можно удалить атрибут name , сократив описание кнопки до . В этом случае, браузер отправит POST -запрос name=Вася.
А теперь - то же самое, но для GET-формы:
В строке 8 можно было бы с таким же успехом написать
Никаких новых приемов здесь не используется. Разберитесь, выполните код, попробуйте модифицировать...
Изменим последний пример, чтобы пользователю не нужно было повторно заполнять поля. Для этого заполним атрибуты value элементов формы только что введенными значениями.
If (isset($_POST
[
"name"
],
$_POST
[
"year"
])) {
if ($_POST
[
"name"
] ==
""
) {
echo
"Укажите имя!
"
;
} else if ($_POST
[
"year"
] <
1900
||
$_POST
[
"year"
] >
2004
) {
echo
"Укажите год рождения! Допустимый диапазон значений: 1900..2004
"
;
} else {
echo
"Здравствуйте, "
.
$_POST
[
"name"
] .
"!
"
;
$age
=
2004
-
$_POST
[
"year"
];
echo
"Вам "
.
$age
.
" лет
"
;
}
echo
"
Несколько непонятными могут оказаться строки 4 и 5. Все очень просто: строку 4 можно было бы записать так:
if (isset($_POST
[
"name"
]))
$name
=
$_POST
[
"name"
];
else
$name
=
""
;
Может возникнуть вопрос - почему бы не выбросить строки 4-5 и не написать:
Введите Ваше имя:
">
Введите Ваш год рождения:
">
Дело в том, что, если эти POST -переменные не определены - а так и будет, если форму еще не заполняли, - PHP выдаст предупреждения об использовании неинициализированных переменных (причем, вполне обоснованно: такое сообщение позволяет быстро находить труднообнаружимые опечатки в именах переменных, а также предупреждает о возможных "дырах" на сайте). Можно, конечно, поместить код с isset прямо в форму, но получится слишком громоздко.
Разобрались? А теперь попробуйте найти ошибку в приведенном коде. Ну, не совсем ошибку, - но недочет.
Не нашли? Я подскажу. Введите, например, в поле "имя" двойную кавычку и какой-нибудь текст, например, Ва"ся. Отправьте форму, и взгляните на исходный код полученной страницы. В четвертой строке будет что-то наподобие:
Введите Ваше имя:
То есть - ничего хорошего. А если бы хитрый пользователь ввел JavaScript-код?
Для решения этой проблемы необходимо воспользоваться функцией htmlspecialchars() , которая заменит служебные символы на их HTML-представление (например, кавычку - на "):
If (isset($_POST
[
"name"
],
$_POST
[
"year"
])) {
if ($_POST
[
"name"
] ==
""
) {
echo
"Укажите имя!
"
;
} else if ($_POST
[
"year"
] <
1900
||
$_POST
[
"year"
] >
2004
) {
echo
"Укажите год рождения! Допустимый диапазон значений: 1900..2004
"
;
} else {
echo
"Здравствуйте, "
.
$name
.
"!
"
;
$age
=
2004
-
$_POST
[
"year"
];
echo
"Вам "
.
$age
.
" лет
"
;
}
echo
"
Повторите опыт и убедитесь, что теперь HTML-код корректен.
Запомните - функцию htmlspecialchars() необходимо использовать всегда, когда выводится содержимое переменной, в которой могут присутствовать спецсимволы HTML.
Функция phpinfo() - одна из важнейших в PHP. Она выводит информацию о настройках PHP, значения всевозможных конфигурационных переменных...
Почему я упоминаю о ней в статье, посвященной формам? phpinfo() - удобнейшее средство отладки. phpinfo() , помимо прочего, выводит значения всех $_GET , $_POST и $_SERVER переменных. Так что, если переменная формы "потерялась", самый простой способ обнаружить, в чем дело - воспользоваться функцией phpinfo() . Для того, чтобы функция выводила только значения переменных (и вам не пришлось прокручивать десяток страниц), ее следует вызвать следующим образом: phpinfo(INFO_VARIABLES); , или - что абсолютно то же самое - phpinfo(32) ;.
Или, например, такая ситуация: вы хотите узнать IP-адрес посетителя. Вы помните, что соответствующая переменная хранится в массиве $_SERVER , но - вот незадача - забыли, как именно переменная называется. Опять же, вызываем phpinfo(32); , ищем в табличке свой IP-адрес и находим его - в строке $_SERVER["REMOTE_ADDR"] .
Сама форма обычно предназначена для получения от пользователя информации для дальнейшей пересылки её на сервер, где данные формы принимает программа-обработчик. Такая программа может быть написана на любом серверном языке программирования вроде PHP, Perl и др. Адрес программы указывается в атрибуте action тега
В этом примере данные формы, обозначенные атрибутом name (login и password ), будут переданы в файл по адресу /example/handler.php. Если атрибут action не указывать, то передача происходит на адрес текущей страницы.
Передача на сервер происходит двумя разными методами: GET и POST, для задания метода в теге