织梦DedeCMS的自定义表单如何进行号码邮箱等数据校验,并且过滤一些无聊或者别有用心的用户提交的垃圾信息。提高织梦系统的安全性,防止恶意提交的方式
步骤一:前端js判断电话邮箱等格式验证
01 | <form action= "/plus/diy.php" enctype= "multipart/form-data" method= "post" name= "gbook" onsubmit= "return saveIt();" > |
02 | <input type = "hidden" name= "action" value= "post" /> |
03 | <input type = "hidden" name= "diyid" value= "1" /> |
04 | <input type = "hidden" name= "do" value= "2" /> |
05 | <input class= "txt" name= "name" id = "name" type = "text" placeholder= " 姓名:" /> |
06 | <input class= "txt" name= "tel" id = "tel" type = "text" placeholder= " 电话:" /> |
07 | <input class= "txt" name= "mail" id = "mail" type = "text" placeholder= "邮箱:" /> |
08 | <textarea class= "textarea1" name= "nr" id = "nr" ></textarea> |
09 | <input class= "btn1" type = "submit" name= "submit" value= "提交" /> |
10 | <input class= "btn2" type = "reset" name= "reset" value= "重置" /> |
11 | <input type = "hidden" name= "dede_fields" value= "name,text;tel,text;mail,text;nr,multitext" /> |
12 | <input type = "hidden" name= "dede_fieldshash" value= "657cee014gga977ca8ef4965fjh7469a" /> |
|
第一步这个只是前端网页的数据验证,只能防范一些不懂网站制作的用户,稍微懂些程序的用户,就可以绕开前台直接向系统提交数据,这就需要在提交的地址diy.php文件里进行相应的数据校验了。比如校验用户提交的某个字段是否是手机号、邮箱等。我们可以采用PHP正则表达式来进行验证,修改方法如下:
第二步后端PHP正则验证
打开plus/diy.php文件找到以下代码:
if(!is_array($diyform))
{
showmsg('自定义表单不存在', '-1');
exit();
}
在下面添加一下代码:
//判断手机号码是否正确
if(!eregi("^((13[0-9])|147|(15[0-35-9])|180|182|(18[5-9]))[0-9]{8}$",$tel))
{ showMsg('手机号码不对,请正确填写', '-1');
exit();
}
//验证邮箱
if (!eregi("^[_\.0-9a-z-]+@([0-9a-z][0-9a-z-]+\.)+[a-z]{2,3}$",$mail))
{showMsg('请您填写正确的E-Mail 地址!', '-1');
exit();
}
解决以上问题之后,还有一个问题,就是某些用户有意或者无意的提交了多次表单,这也会给信息收集工作带来巨大的压力,所以我们也要努力地降低这个方面的工作量。我们可以采用验证Cookies方法,达到织梦DedeCMS自定义表单限制IP24小时只能发布一次功能。
步骤三:IP限制提交
紧接着第二步添加代码的下面加入以下代码
02 | if (isset($_COOKIE[ 'VOTE_MEMBER_IP' ])) |
06 | if ($_COOKIE[ 'VOTE_MEMBER_IP' ] == $_SERVER[ 'REMOTE_ADDR' ]) |
10 | ShowMsg( '您已经填写过表单啦' , '-1' ); |
16 | setcookie( 'VOTE_MEMBER_IP' ,$_SERVER[ 'REMOTE_ADDR' ], time ()*$row[ 'spec' ]*3600, '/' ); |
22 | setcookie( 'VOTE_MEMBER_IP' ,$_SERVER[ 'REMOTE_ADDR' ], time ()*$row[ 'spec' ]*3600, '/' ); |
|
当然,经过以上的操作,织梦DedeCMS的自定义表单并不是就完全的安全了,别人还可以清空Cookies或者使用VPN之类的软件等进行继续重复提交,不过这些就不需要考虑那么多了,毕竟道高一尺魔高一丈,不可能百分百完美的。