HTML-Formulare können ein HTTP-Request unter der im method-Attribut des Formulars festgelegten Methode erzeugen. Dies kann zum Beispiel ein GET-Request oder ein POST-Request sein. Der Endpunkt des Request wird über das action-Attribut des Formulars bestimmt und gibt an wohin der Request gesendet wird.
Nehmen wir beispielsweise ein Projektverzeichnis mit folgender HTML-Datei an.
<form method=post action=form.php> <input type=email name=email> <input type=submit value=Senden> </form>
Bei der Absendung werden die Inhalte des Formulars, hier die Texteingabe der E-Mail, als HTTP-POST-Request an die festgelegte Datei form.php übermittelt.
<?php if ( $_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['email']) ) { // … } else { die('Ungültige Anfrage'); }
Die PHP-Datei wird aufgerufen und ausgeführt, hierbei wird zunächst überprüft, ob es sich tatsächlich um eine POST-Anfrage handelt und ob das Feld der E-Mail überhaupt in dem Anfrage-Körper enthalten ist. Ist das der Fall, kann das Script fortgesetzt werden, ist das hingegen nicht der Fall und mindestens eine der beiden Konditionen ist nicht wahr, so wird die Ausführung des Scripts sofort beendet und eine entsprechende Meldung wird als Antwort zurückgesendet.
Sind die richtigen Inhalte mit der richtigen Übertragungsmethode eingegangen müssen aus Sicherheitsgründegen unbedingt auch die Inhalte der übertragenen Werte validiert werden.
Hierbei geht es darum zu prüfen, ob ein übertragenes Feld auch tatsächlich den Vorgaben seines Inhaltes entspricht. Das heißt, dass geprüft werden muss, ob ein Feld, dessen Inhalt eine Zahl sein soll, auch tatsächlich eine Zahl ist oder ob ein Eingabefeld für eine E-Mail-Adresse auch tatsächlich eine E-Mail-Adresse beinhaltet.
PHP bietet für diesen Zweck eine Reihe von Funktionen, die genau das tun: https://www.php.net/manual/en/ref.filter.php
$email = filter_input( INPUT_POST, 'email', FILTER_VALIDATE_EMAIL ); if ($email === false) { die('Ungültige E-Mail-Angabe'); }
Sind alle Werte geprüft und haben sich als valide herausgestellt müssen die Inhalte nun noch der sogenannten Sanitization unterzogen werden, um die Werte auch gefahrlos in der Weiterverarbeitung darstellen zu können. Hierbei werden alle potenziell gefährlichen Inhalte in den Werten entfernt oder so umgewandelt, dass diese bedenkenlos ausgegeben werden können. Das ist wichtig, da sichergestellt werden muss, dass zum Beispiel von Außen kein Fremdcode eingeschleust werden kann.
$email_sanitized = filter_var( $email, FILTER_SANITIZE_EMAIL ); echo <<<HTML Deine E-Mail ist $email_sanitized HTML;
Ganz simpel!
Auf der HTML-Seite hat man irgendein Formular.
<form method="POST" action="formularverarbeitung.php" >
<input type="text" name="betreff">
<textarea name="kommentar"></textarea>
<input type="submit" value="Speichern">
</form>
Welche Art von Feldern in dem Formular stehen, ist egal. Was man braucht ist der "name". In der PHP-Datei, an die es geschickt wird, kann man den Inhalt nämlich unter diesem Namen abrufen und in Variablen speichern.
<?php
$betreff = $_POST['betreff'];
$kommentar = $_POST['kommentar'];
?>
Wenn das Formular mit method="GET" funktioniert, dann muss da anstelle $_POST['...'] allerdings $_GET['...'] stehen. Man kann auch einfach $_REQUEST['...'] schreiben, denn das geht für beide.
Nachfolgend kann man mit den Variablen anstellen, wonach einem der Sinn steht... In eine Datei schreiben, in die Datenbank schreiben oder auch einfach nur ausgeben.
<div class="beitragstitel">
<h2><?php echo $betreff; ?></h2>
</div>
<div class="beitrag">
<?php echo $kommentar; ?>
</div>
Nicht schlecht, aber für Newbies ein bisschen viel auf einmal ;)
Tutorial auf Quakenet: http://tut.php-q.net/de/post.html