Sprawdzenie poprawności danych Opcje

[TomASS]

Witam.

Mam sobie formularz. Użytkownik wpsuje w nim dane, daty, itp. itd...to co zwykle i teraz jak nacisnie się submita, to formularz zostaje wysłany POSTEM do innego pliku, który sprawdzi poprawność danych i ewentualnie dokona operacji na bazie danych i teraz moje pytanko. Jeśli dane są złe/niekompletne/niepoprawne i skrypt to wykryje, to oczywiście wraca do frmularza i co zrobić aby użytkonik znowusz nie musiał wpisywać wszystkich danych? Czy dane wpisane za pierwszym razem musze przetrzymywać w sesji?

Pozdrawiam i dziękuje za opdoiwedzi.

[ens0re]

No możesz w sesjii...

[Marusz]

Możesz i w sesji, możesz też za pomocą prostego formularza, na zasadzie:

Po kliknięciu na "Wyślij":

[PHP] pobierz, plaintext 
<form method="POST" action="adres_do_formularza">
	<input type="hidden" name="form_street" value="<?php echo htmlspecialchars($_POST["form_street"]); ?>">
	<input type="submit" name="form_back" value="Wracaj i poprawiaj boś napsuł">
</form>
[PHP] pobierz, plaintext 

Po czym odczytujesz to co siedzi w hiddenach juz we wlasciwym, pierwszym, formularzu:

[PHP] pobierz, plaintext 
<form method="POST" action="adres_do_formularza">
	<input type="text" name="form_street" value="<?php echo htmlspecialchars($_POST["form_street"]); ?>">
	<input type="submit" name="form_submit" value="Wyślij">
</form>
[PHP] pobierz, plaintext 

Ogólnie wydaje mi się, że sesja będzie łatwiejsza.

[zbig13]

A nie prościej tak:

[PHP] pobierz, plaintext 
<form action "plik.php" method="post">
<input type="imie" name="imie" value="<?php if (isset($_POST['imie'])) echo $_POST['imie']; ?>" />
<textarea rows="10" cols="30" name="adres"><?php if (isset($_POST['adres'])) echo $_POST['adres']; ?></textarea>
<input type="submit" name="wyslij" value="Wyślij" />
</form>
[PHP] pobierz, plaintext 

?

[ens0re]

Może i prosciej

[Marusz]

A nie prościej tak?

Prosciej. Tylko rowniez trzeba te POSTy pozabezpieczac, bo sajgon przy wprowadzeniu htmla gwarantowany.

[batman]

A nie lepiej byłoby zastosować javascript. Wtedy nie byłoby potrzeby przetrzymywania danych w zmiennych, ponieważ skrypt byłby zamieszczony na te samej stronie. Np.

[HTML] pobierz, plaintext 
<form name="forma" action="jakis_plik.php" method="POST">
<input type="text" name="poletxt">
<inpyt type="button" onClick="sprawdz();" value="Dalej">
</form>
[HTML] pobierz, plaintext 

A teraz skrypt zamieszczony na tej samej stronie:

[HTML] pobierz, plaintext 
<script language="javascript">
function sprawdz()
{
  if (forma.poletxt.value=='')
  {
    alert("Formularz niekompletny");
    forma.poletxt.focus;
    //nie pamietam czy po fokus mają być nawiasy czy nie
  }
  else
  {
    forma.submit();
  }
}
</script>
[HTML] pobierz, plaintext 

Może więcej pisania, ale nie trzeba sobie głowy zawracać przechowywaniem zmiennych, które są nam niepotrzebne.

[Marusz]

A nie lepiej byłoby zastosować javascript

Jasne ze lepiej, prosciej, szybciej i jasniej dla usera. Gorzej tylko, jesli ten nie ma aktywnego JS, wtedy robota x2.

[batman]

Cóż. Mówi się trudno i pisze się dalej

[ActivePlayer]

Jasne ze lepiej, prosciej, szybciej i jasniej dla usera. Gorzej tylko, jesli ten nie ma aktywnego JS, wtedy robota x2.

to nie robisz guzika <input type="submit"> tylko <input type="button" onclick="submit_maj_form();">... jak nei ma js wlaczonego, to forma tez nei posle

[zbig13]

Prosciej. Tylko rowniez trzeba te POSTy pozabezpieczac, bo sajgon przy wprowadzeniu htmla gwarantowany.

Przecież on przesyła dane do pliku php, i je tam waliduje, to dlaczego ma być "sajgon" przy wprowadzaniu danych?

[Marusz]

dlaczego ma być "sajgon" przy wprowadzaniu danych?

Mialem na mysli pchanie niepowalidowanych danych do inputow, vide Twoj przyklad:

[PHP] pobierz, plaintext 
value="<?php if (isset($_POST['imie'])) echo $_POST['imie']; ?>"
[PHP] pobierz, plaintext 

Wystarczy, ze bedzie mial pole o tresci: wpisz Imię i pseudonim. Ktos wpisze: Lucek "Konstanty" Wasilewski i gdy to trafi pod Twoj value spowoduje rozwalenie formularza (jesli owy Lucek nie wypelnil jakiegos pola). Przecwicz przyklad.

jak nei ma js wlaczonego, to forma tez nei posle

Rozumiem, ze ktos kto wylacza JS ze wzgledow bezpieczenstwa, na formularzu sobie nie podziala? Podam inny przyklad: co za problem jest wyslac POSTa ze specjalnie spreparowanej strony i wtluc mu tresci nieporzadane? Zawsze trzeba zabezpieczac formularz od strony php!

[TomASS]

Wow! Ale odpowiedzi! Dziękuję Państwu bardzo, nie spodziewałem się takiego odzewu Myślę, że JS będzie ok. No jest tylko jedno ale....jak user ma wyłączone JS:/ to najlepiej sprawdzić przy logowaniu się i wtedy nie ma problemu:) W zasadzie to większość serwisów wymaga JS. Pozdrawiam i dziękuje.

Acha....
tylko zastanwia mnie jedna rzecz....
czy:

[HTML] pobierz, plaintext 
forma.poletxt.focus;
[HTML] pobierz, plaintext 

to znaczy, że kursor ma przejśc na niekompletny input...prawda? A ja sobie dodadam do tego czerwoną ramkę na około niekompletnych inputów

[batman]

Tak. Focus ustawi kursor w miejscu, w którym brakuje danych. Nie pamiętam tylko czy pisze się focus, czy focus().

[Seth]

Cóż. Mówi się trudno i pisze się dalej

Brawo. I tak wlasnie serwisy internetowe sa haczone w kilka sekund...

http://www.f5.com/solutions/tech/asg/vulnerabilities_wp.html

To avoid buffer overflow, developers typically use HTML and JavaScript to limit how many characters could be submitted as input. However, an attacker can change HTML and turn off JavaScript and then submit a buffer overflow attack. In order to properly protect the application against buffer overflow attack, all input from the client has to be carefully checked on the server; alternatively an Application Firewall or Application Security Gateway could be installed to scan out requests with abnormal length.

[dr_bonzo]

to nie robisz guzika <input type="submit"> tylko <input type="button" onclick="submit_maj_form();">

A user na to (w pasku adresu)
java script://document.getElementById( "formularz" ).submit();
i pomija walidacje

[TomASS]

W takim przypadku ewidenta chęć użytkownika zaszkodzeniu samemu sobie
Zrobiłem skrypcik:

[HTML] pobierz, plaintext 
<script type="text/javascript" language="JavaScript">
<!--
function check_form_buy(forma,transport1,transport2,transport3,data1,data2,sam,kier,zak){
 var wyslij = 1;
 if(document.getElementById(transport1).checked) var mess = 'ds';
 if(document.getElementById(transport2).checked) var mess = 'dt';
 if(document.getElementById(transport3).checked) var mess = 'ow';
 
 var dat = document.getElementById(data1).value;
 var dat2 = document.getElementById(data2).value;
 var samo = document.getElementById(sam).value;
 var kiero = document.getElementById(kier).value;
 var zakl = document.getElementById(zak).value;
 
 if(mess=='dt' & dat=='<?echo $Lang['Data_dostawy'];?>'){
  document.getElementById(data1).style.border='solid 2px #FF0000';
  wyslij = 0;
 }
 if(mess=='ow'){
  if(dat2=='<?echo $Lang['Data_odbioru'];?>' | dat2==''){
   document.getElementById(data2).style.border='solid 2px #FF0000';
   wyslij = 0;
  }
  if(samo=='<?echo $Lang['Samochod'];?>' | samo==''){
   document.getElementById(sam).style.border='solid 2px #FF0000';
   wyslij = 0;
  }
  if(kiero=='<?echo $Lang['Kierowca'];?>' | kiero==''){
   document.getElementById(kier).style.border='solid 2px #FF0000';
   wyslij = 0;
  }
  if(zak=='<?echo $Lang['Miejsce_odbioru'];?>' | zakl==''){
   document.getElementById(zak).style.color='#FF0000';
   wyslij = 0;
  }
 
 }
 if(wyslij) document.getElementById(forma).submit();
 else alert("<?echo $Lang['Dane_niekompletne'];?>");
 
}
//-->
</script>
[HTML] pobierz, plaintext 

Dzięki