Сразу фильтруй входящие значения. Никогда не считай, что пользователь отправил то, что ты ожидал. Используй filter_input() с явным указанием типа. Например, filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL) – нормальный способ проверить, что это действительно email. Не через регулярки – через фильтры.
Никогда не пиши свои проверки «с нуля», если поле стандартное. Для телефонов, email-адресов, URL – есть встроенные валидаторы. Пользуйся ими. Самописная логика на регулярках – источник ошибок. Лучше добавить две строчки проверенного кода, чем сто строк сомнительной логики.
csrf-токен обязателен. Иначе – уязвимость. Генерируй bin2hex(random_bytes(32)), сохраняй в сессии, проверяй на совпадение при отправке. Без токена – даже простая форма может стать входной точкой атаки.
Не складывай всё подряд в базу. Прежде чем сохранить что-либо, удостоверься: строка прошла фильтрацию, длина в пределах, тип соответствует ожидаемому, ничего лишнего не попало. Даже checkbox с одним значением должен быть проверен: пришёл ли он вообще?
Минимум: фильтрация, проверка типа, ограничение длины. Лучше – добавить логику зависимостей между полями. Например, если пользователь выбрал «Другое», проверь, что он заполнил дополнительное поле. Без фанатизма, но строго.
Создание HTML-форм и передача данных на сервер с помощью метода POST
Используй тег <form> с атрибутами method=»post» и action=»обработчик.php». Это ключевой момент: браузер отправит содержимое полей на указанный серверный скрипт, минуя URL-параметры и защищая личную информацию от посторонних глаз.
Пример минимального шаблона:
<form method="post" action="submit.php">
<input type="text" name="username" required>
<input type="password" name="password" required>
<button type="submit">Войти</button>
</form>
Обрати внимание: значение атрибута name критично – именно под этим именем данные будут доступны на сервере через $_POST['username'] и аналогично для других полей. Без этого имя поле окажется бесполезным.
Не добавляй лишних украшений – только нужные элементы: поля, подписи, кнопка. Если требуется передать скрытые параметры (например, токен или ID), используй <input type="hidden">. Он не виден, но уходит на сервер вместе с остальными значениями.
Не забудь задать атрибут required там, где пустые значения недопустимы. Это простая мера, чтобы отсеять очевидные ошибки еще до запроса.
Почему POST, а не GET
Метод POST передаёт информацию в теле запроса, не отображая её в адресной строке. Это удобно и безопаснее, особенно для логинов, паролей, комментариев и любых данных, которые пользователь вводит вручную. GET годится для поиска, но не для передачи содержимого формы.
Проверка на сервере
Даже если всё настроено на клиенте, сервер должен быть готов к приёму: if ($_SERVER['REQUEST_METHOD'] === 'POST') – первое, что нужно проверить в скрипте. Это позволит отличить реальный запрос от случайного перехода.
Обработка введённых пользователем данных с учётом безопасности и структуры
Сразу фильтруй ввод. Не жди следующего шага. Используй filter_input() с конкретными флагами: FILTER_SANITIZE_STRING, FILTER_VALIDATE_EMAIL, FILTER_VALIDATE_INT – в зависимости от поля. Это минимальный барьер от нежелательного мусора.
Не доверяй никакому значению. Даже если поле выглядит безобидно, проверяй тип, длину и допустимые символы. Для текстов – регулярные выражения. Пример: preg_match('/^[a-zа-я0-9_\-]{3,20}$/iu', $username). Строгая форма, без вольностей.
Никогда не вставляй сырой ввод в SQL-запрос. Ни при каких условиях. Используй PDO с подготовленными выражениями: $stmt = $pdo->prepare("INSERT INTO users (email) VALUES (:email)") и дальше $stmt->bindParam(':email', $email). Всё. Без concatenation, без sprintf, без старого mysql_*.
HTML-контекст требует другого подхода: htmlspecialchars() с флагом ENT_QUOTES. Показываешь текст на странице? Обязательно фильтруй. Особенно комментарии, имена и любые кастомные поля. Без этого XSS – дело времени.
Порядок полей имеет значение. Всегда следи за логикой: сначала техническая фильтрация, потом логическая проверка. Пример: поле «возраст» должно быть числом от 10 до 120. Всё, что вне этого – отклоняй.
Пустые значения – тоже угроза. empty() – не всегда надёжен. Лучше isset() в связке с trim(). Удаляй пробелы сразу, иначе они съедят логику.
И наконец: всё, что пришло извне – потенциально опасно. Не верь заголовкам, куки, hidden-полям. Всё должно проходить ручную проверку, словно ты разбираешься в чьём-то багаже на границе.
Сначала проверь, отправлен ли POST-запрос. Если нет – не трать ресурсы. Используй конструкцию if ($_SERVER['REQUEST_METHOD'] === 'POST'). Затем шаг за шагом проверяй каждое значение: не все сразу, а поочерёдно, с возможностью выхода при первой же критической ошибке.
Для хранения всех уведомлений заведи массив $errors = [];. Далее – фильтрация и проверка. Не просто empty(), а filter_var() с конкретными флагами. Пример для email: if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) { $errors['email'] = 'Некорректный e-mail'; }. Для текста – регулярные выражения, а не наивные strlen().
Пример вставки ошибки в HTML-разметку:
<input name="username" value="..."><br>
<?php if (isset($errors['username'])) echo '<span class="error">' . $errors['username'] . '</span>'; ?>
Не забудь о сохранении введённых значений при ошибках. Используй htmlspecialchars($_POST['...']) при повторной отрисовке формы, чтобы не провоцировать XSS.
Проверку делай поэтапной, с логикой раннего выхода при критичных сбоях. Это ускоряет обработку и упрощает отладку. И помни: не стоит слепо доверять клиентским скриптам – всегда перепроверяй всё на серверной стороне.
Если нужно больше примеров и актуальных решений – смотри официальную документацию: https://www.php.net/manual/ru/filter.examples.validation.php