所以我有一个基本的mail()联系表单,它通过jQuery脚本发送POSTS数据,我想验证和清理数据。显然,主要原因是为了安全而且还要防止任何错误。目前,唯一的验证形式是HTML(IE类型=" tel"),这显然不够,也不安全。
我的问题是我该如何保护这个脚本?在jQuery或PHP中。对不起,我对这种东西还不太新鲜。 (编辑 - 我想知道如何具体保护这个。示例代码,教程等-EDIT)
的index.html
<div class="order_info">
<form id="order-form" class="order_form" action="php/order.php" method="post">
<input id="or_name" class="or_field" required type="text" name="or_name" placeholder="Name*">
<input id="or_company" class="or_field" type="text" name="or_company" placeholder="Company Name">
<input id="or_email" class="or_field" required type="email" name="or_email" placeholder="Email*">
<input id="or_tel" class="or_field" type="tel" name="or_tel" placeholder="Phone">
<select id="or_package" class="or_field" required name="or_package">
<option value="" selected disabled>Select Package*</option>
<option value="Starter">Starter</option>
<option value="Business">Business</option>
<option value="Premier">Premier</option>
</select>
<textarea id="or_tarea" class="or_field" required name="or_details" placeholder="Project Details*"></textarea>
<input id="or_submit" class="or_button" type="submit" value="SUBMIT!">
</form>
</div>
custom.js
$(window).load(function(){
"use strict";
$('.order_info .order-form').each( function(){
var form = $(this);
//form.validate();
form.submit(function(e) {
if (!e.isDefaultPrevented()) {
jQuery.post(this.action,{
'or_name':$('input[name="or_name"]').val(),
'or_company':$('input[name="or_company"]').val(),
'or_email':$('input[name="or_email"]').val(),
'or_tel':$('input[name="or_tel"]').val(),
'or_package':$('select[name="or_package"]').val(),
'or_details':$('textarea[name="or_details"]').val(),
},function(data){
form.fadeOut('fast', function() {
$(this).siblings('p.newsletter_success_box').show();
});
});
e.preventDefault();
}
});
});
});
order.php
<?php
$field_name = $_POST['or_name'];
$field_company = $_POST['or_company'];
$field_email = $_POST['or_email'];
$field_tel = $_POST['or_tel'];
$field_package = $_POST['or_package'];
$field_details = $_POST['or_details'];
$mail_to = 'email@email.com'; //Change to your email
$subject = 'Enquiry from '.$field_name.' ('.$field_company.')'; //Change to your subject
$body_message = 'From: '.$field_name."\n";
$body_message .= 'Company: '.$field_company."\n";
$body_message .= 'E-mail: '.$field_email."\n";
$body_message .= 'Phone: '.$field_tel."\n";
$body_message .= 'Package: '.$field_package."\n";
$body_message .= 'Details: '.$field_details;
$headers = 'From: '.$field_email."\r\n";
$headers .= 'Reply-To: '.$field_email."\r\n";
mail($mail_to, $subject, $body_message, $headers);
?>
答案 0 :(得分:1)
IMO,您应该验证客户端(JQuery)上的数据,然后在服务器端验证和/或清理它(PHP)。原因是由于速度的原因,客户端的验证是用户友好的,您可以定位页面的特定区域。真的,两者都是出于不同的原因需要的。这是一个包含更多信息的页面:
https://luxsci.com/blog/secure-web-pages-and-web-forms-what-you-need-to-know.html
我不建议在客户端执行所有操作,因为表单可以直接提交给服务器,从而绕过JQuery验证。
http://php.net/manual/en/security.database.sql-injection.php