Bài 22: Xử lý biểu mẫu - Form

Đã cập nhật: 1 năm trước

Biểu mẫu (form) là cách phổ biến nhất để thu thập dữ liệu từ người dùng trên các trang web. Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết về cách xử lý biểu mẫu trong PHP, bao gồm việc sử dụng phương thức GET, POST và cách xác thực dữ liệu trước khi lưu trữ hoặc sử dụng. Bài viết cũng sẽ giới thiệu các phương pháp bảo mật để đảm bảo dữ liệu người dùng được xử lý an toàn và chính xác. Cùng khám phá cách xử lý form hiệu quả và bảo mật trong PHP qua bài viết dưới đây!

1. Cách hoạt động của Form trong HTML

Biểu mẫu HTML sử dụng các phần tử như <input>, <textarea>, và <select> để thu thập dữ liệu từ người dùng. Khi người dùng nhấn nút "Gửi", dữ liệu sẽ được gửi đến một trang PHP khác (hoặc cùng trang) để xử lý.

Ví dụ Form trong HTML:

html

Thử online

<form action="process.php" method="post">
    <label for="name">Tên:</label>
    <input type="text" id="name" name="name"><br><br>
    
    <label for="email">Email:</label>
    <input type="email" id="email" name="email"><br><br>
    
    <input type="submit" value="Gửi">
</form>

action: URL của trang PHP mà dữ liệu biểu mẫu sẽ được gửi đến. Trong ví dụ này, trang xử lý dữ liệu là process.php.
method="post": Chỉ định phương thức gửi dữ liệu. Có hai phương thức chính: GET và POST.

2. Phương thức `GET` và `POST`

GET: Dữ liệu biểu mẫu được gửi thông qua URL dưới dạng chuỗi truy vấn. Phương thức này thường được sử dụng khi không yêu cầu bảo mật cao hoặc lượng dữ liệu nhỏ.
POST: Dữ liệu được gửi ẩn trong body của yêu cầu HTTP, không hiển thị trên URL. Phương thức này an toàn hơn và thường được sử dụng để gửi dữ liệu nhạy cảm.

Ví dụ về phương thức GET:

URL được gửi đến khi sử dụng GET:

shell

https://example.com/process.php?name=Minh&email=minh@example.com

Sử dụng POST an toàn hơn:

Dữ liệu được gửi ẩn trong yêu cầu HTTP, không hiển thị trên URL, giúp bảo mật hơn.

3. Nhận dữ liệu từ Form trong PHP

Trong PHP, bạn có thể sử dụng các biến siêu toàn cục ($_GET, $_POST, và $_REQUEST) để lấy dữ liệu được gửi từ biểu mẫu.

Nhận dữ liệu từ phương thức POST:

php

<?php
$name = $_POST['name'];
$email = $_POST['email'];

echo "Tên: " . $name . "<br>";
echo "Email: " . $email;
?>

Nhận dữ liệu từ phương thức GET:

php

<?php
$name = $_GET['name'];
$email = $_GET['email'];

echo "Tên: " . $name . "<br>";
echo "Email: " . $email;
?>

4. Kiểm tra và xử lý dữ liệu Form

Khi nhận dữ liệu từ biểu mẫu, bạn cần kiểm tra tính hợp lệ và bảo mật. Đặc biệt, cần đảm bảo rằng dữ liệu đã được người dùng nhập đúng cách và không chứa mã độc hoặc ký tự không hợp lệ.

4.1. Kiểm tra tính hợp lệ (Validation)

Dữ liệu người dùng cần được kiểm tra để đảm bảo tính chính xác, ví dụ như tên không được để trống và email phải đúng định dạng.

Ví dụ kiểm tra tính hợp lệ:

php

<?php
$name = $_POST['name'];
$email = $_POST['email'];
$errors = array();

if (empty($name)) {
    $errors[] = "Tên không được để trống";
}

if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    $errors[] = "Email không hợp lệ";
}

if (!empty($errors)) {
    foreach ($errors as $error) {
        echo $error . "<br>";
    }
} else {
    echo "Tên: " . $name . "<br>";
    echo "Email: " . $email;
}
?>

Trong ví dụ này, nếu người dùng không nhập tên hoặc nhập email không hợp lệ, các thông báo lỗi sẽ được hiển thị.

4.2. Kiểm tra bảo mật

Để đảm bảo an toàn cho ứng dụng của bạn, cần phải kiểm tra và lọc dữ liệu đầu vào từ người dùng. Một số kỹ thuật phổ biến bao gồm:

Sử dụng htmlspecialchars(): Ngăn chặn tấn công XSS (Cross-Site Scripting) bằng cách chuyển đổi các ký tự đặc biệt như < và > thành các thực thể HTML an toàn.

Ví dụ:

php

<?php
$name = htmlspecialchars($_POST['name']);
$email = htmlspecialchars($_POST['email']);

echo "Tên: " . $name . "<br>";
echo "Email: " . $email;
?>

Sử dụng filter_var(): Đảm bảo dữ liệu hợp lệ bằng cách sử dụng bộ lọc dữ liệu có sẵn trong PHP.

Ví dụ kiểm tra email hợp lệ:

php

<?php
$email = $_POST['email'];

if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
    echo "Email hợp lệ!";
} else {
    echo "Email không hợp lệ!";
}
?>

5. Xử lý Form trên cùng trang (Self-processing form)

Thay vì gửi dữ liệu đến một trang khác để xử lý, bạn có thể xử lý biểu mẫu trên cùng một trang. Điều này thường được sử dụng để giữ nguyên dữ liệu đã nhập khi có lỗi, và hiển thị lại form với các thông báo lỗi.

Ví dụ xử lý biểu mẫu trên cùng trang:

"<?php\n$name = $email = \"\";\n$nameErr = $emailErr = \"\";\n\nif ($_SERVER[\"REQUEST_METHOD\"] == \"POST\") {\n    if (empty($_POST[\"name\"])) {\n        $nameErr = \"T\u00ean l\u00e0 b\u1eaft bu\u1ed9c\";\n    } else {\n        $name = htmlspecialchars($_POST[\"name\"]);\n    }\n\n    if (empty($_POST[\"email\"])) {\n        $emailErr = \"Email l\u00e0 b\u1eaft bu\u1ed9c\";\n    } else {\n        if (!filter_var($_POST[\"email\"], FILTER_VALIDATE_EMAIL)) {\n            $emailErr = \"Email kh\u00f4ng h\u1ee3p l\u1ec7\";\n        } else {\n            $email = htmlspecialchars($_POST[\"email\"]);\n        }\n    }\n}\n?>\n\n<form method=\"post\" action=\"<?php echo htmlspecialchars($_SERVER[\"PHP_SELF\"]); ?>\">\n    T\u00ean: <input type=\"text\" name=\"name\" value=\"<?php echo $name; ?>\">\n    <span><?php echo $nameErr; ?><\/span><br><br>\n\n    Email: <input type=\"text\" name=\"email\" value=\"<?php echo $email; ?>\">\n    <span><?php echo $emailErr; ?><\/span><br><br>\n\n    <input type=\"submit\" value=\"G\u1eedi\">\n<\/form>"

php

<?php
$name = $email = "";
$nameErr = $emailErr = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (empty($_POST["name"])) {
        $nameErr = "Tên là bắt buộc";
    } else {
        $name = htmlspecialchars($_POST["name"]);
    }

    if (empty($_POST["email"])) {
        $emailErr = "Email là bắt buộc";
    } else {
        if (!filter_var($_POST["email"], FILTER_VALIDATE_EMAIL)) {
            $emailErr = "Email không hợp lệ";
        } else {
            $email = htmlspecialchars($_POST["email"]);
        }
    }
}
?>

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]); ?>">
    Tên: <input type="text" name="name" value="<?php echo $name; ?>">
    <span><?php echo $nameErr; ?></span><br><br>

    Email: <input type="text" name="email" value="<?php echo $email; ?>">
    <span><?php echo $emailErr; ?></span><br><br>

    <input type="submit" value="Gửi">
</form>

Trong ví dụ này:

Nếu người dùng nhập dữ liệu không hợp lệ, thông báo lỗi sẽ được hiển thị cạnh các trường tương ứng.
Form vẫn giữ lại các giá trị đã nhập để người dùng không phải nhập lại từ đầu khi có lỗi.

6. Một số lưu ý bảo mật khi xử lý Form

6.1. Kiểm tra và lọc dữ liệu đầu vào

Luôn kiểm tra và lọc tất cả các dữ liệu đầu vào từ người dùng để tránh các lỗ hổng bảo mật như SQL Injection hoặc XSS. Các hàm như htmlspecialchars() và filter_var() rất hữu ích để thực hiện điều này.

6.2. Sử dụng mã thông báo CSRF

CSRF (Cross-Site Request Forgery) là một dạng tấn công mà trong đó kẻ tấn công lừa người dùng gửi các yêu cầu không mong muốn đến ứng dụng web của bạn. Để phòng tránh, bạn có thể sử dụng mã thông báo CSRF (CSRF token)để xác nhận rằng yêu cầu được gửi từ người dùng thực sự.

Ví dụ về CSRF token:

php

<?php
session_start();
if (empty($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}
?>

<form method="post">
    <input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">
    <!-- Các trường khác -->
</form>

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (!hash_equals($_SESSION['token'], $_POST['token'])) {
        die("Token không hợp lệ!");
    }
    // Xử lý biểu mẫu
}
?>

7. Kết luận

Xử lý biểu mẫu trong PHP là một kỹ năng quan trọng và cơ bản đối với bất kỳ lập trình viên web nào. Hiểu cách nhận dữ liệu, kiểm tra tính hợp lệ và bảo mật dữ liệu từ người dùng là rất cần thiết để xây dựng các ứng dụng web an toàn và hiệu quả. Hãy nhớ luôn kiểm tra, lọc và bảo mật dữ liệu từ biểu mẫu để đảm bảo ứng dụng của bạn tránh được các lỗ hổng bảo mật.

Hy vọng bài viết này đã giúp bạn nắm rõ quy trình xử lý biểu mẫu trong PHP, từ những bước cơ bản đến những phương pháp bảo mật tiên tiến.

← Bài 21: PHP Regular Expressions - biểu thức chính quy

Bài 23: PHP form validation - Xác thực dữ liệu đầu vào →

Tác giả

Tôi là Toàn Nguyễn, một lập trình viên web fullstack với hơn 10 năm kinh nghiệm trong việc thiết kế và phát triển các hệ thống web và ứng dụng. Chuyên về các công nghệ hiện đại như Laravel, React, Vue.js, và Node.js,... đồng thời có đam mê chia sẻ kiến thức qua các bài viết, khóa học và dự án mã nguồn mở. Tôi muốn giúp cộng đồng lập trình phát triển mạnh mẽ hơn bằng cách cung cấp những hướng dẫn chi tiết, dễ hiểu và thực tế thông qua các chuỗi bài viết trên codetuthub.com.

Cảm ơn bạn đã dành thời gian đọc bài viết, và rất mong nhận được ý kiến đóng góp để nội dung ngày càng hoàn thiện hơn. Bạn có thể kết nối với tôi qua LinkedIn, Facebook. hoặc để lại comment bên dưới!🌟