Diferencia entre revisiones de «Plantilla:ManuelRomero/PHP/FormulariosConceptosGenerales»

Leyendo del usuario

• En el formulario tendremos elementos gráficos de entradas de valores (input) donde, en el navegador, el usuario podrá escribir contenido(text, ...), o de alguna forma aportarlo (radio, select, ...)
• En los diferentes elementos de entrada de un formulario , como una texto, el usuario podrá escribir valores.
• Al darle el botón enviar (u otro elemento submit) (submit del formulario), dichos valores irán al servidor para ser leídos y usados en un script;
• Porteriormetne veremos cómo leerlos en el servidor.
• Repasemos cómo crear formularios en el cliente y lo que más nos interesa, cómo leerlos en el servidor.

Creando un formulario

• Esta parte la veis en el módulo de diseño de interfaces , no obstante comentaremos lo que aquí vamos a utilizar.
• Un formulario se establece con la etiqueta form.

Etiqueta form

Formularios vistos desde el servidor

Para la programación servidor, entendemos por formulario: Una sección del código html que va a poder contener,( además de otros elementos) varios objetos gráficos con los que el usuario va a poder interactuar insertando valores para que éstos lleguen al servidor

Atributos de la etiqueta

• Etiqueta form con una serie de atributos, de los que ahora nos interesan dos principalmente:

1. action: especifica el fichero que se invocará al servidor. Este fichero contendrá el código php que queremos que se ejecute.
2. method: especifica el modo en el que se van a pasar los parámetros (valores introducidos a los diferentes objetos del formulario, o que tengan asignados por defecto).

El action

Valor de action

Establece el nombre del recurso, script o página que se va a solictar al servidor cuando realicemos un click en el submit del formulario

Ejemplo

Haciendo un pin-pon

Haz un proyecto que contenga dos páginas ping.php y pon.php Ambas tendrán un botón de tipo submit <input type=submit value='Ir a ...'> La página pin me llevaré a pon py la página pon me ha de llevar a pin posible solución <!--PIN.PHP--> <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> </head> <body> <form action="pon.php"> <input type="submit" value="Ir a pon">   </form>   </body> </html> <!-- PON.php --> <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> </head> <body> <form action="pin.php"> <input type="submit" value="Ir a pin">   </form>   </body> </html>

El method: GET o POST

Valor de method

Establece la manera en la que van a enviar los datos al servidor Se enviarán todas las parejas variable-valor que haya en el formulario Estos datos se pueden enviar: en la cabecera (método GET) en el cuerpo del mensaje (método POST)

   <form action="datos.php" method="POST"
    ......
   </form>

   <form action="datos.php" method="GET"
    ......
   </form>

Obtener datos de un formulario

• Una vez que estamos en el servidor, los datos son pasados del cliente al servidor usando las variables superglobales o matrices $_POST $_GET, $_REQUEST.
• Dependerá del modo en el que pasemos los datos del formularios desde el cliente

atributo method del form

• Para leer el datos indexaremos la matriz por el valor del atributo name de input correspondiente.
• Por ejemplo en el cliente tenemos

....
<form method=POST action ="resuelve.php">
....
 <input type=text name=nombre>
...
</form>

• En el servidor el servidor el fichero resuelve.php

....
$nombre = $_POST['nombre'];
....
//También podríamos $_REQUEST['nombre'];

Obtener datos de un formulario

• Una vez que estamos en el servidor, los datos son pasados del cliente al servidor usando las variables superglobales o matrices $_POST $_GET, $_REQUEST.
• Dependerá del modo en el que pasemos los datos del formularios desde el cliente

atributo method del form

• Para leer el datos indexaremos la matriz por el valor del atributo name de input correspondiente.
• Por ejemplo en el cliente tenemos

....
<form method=POST action ="resuelve.php">
....
 <input type=text name=nombre>
...
</form>

• En el servidor el servidor el fichero resuelve.php

....
$nombre = $_POST['nombre'];
....
//También podríamos $_REQUEST['nombre'];

Verificando si una variable existe

• Este tema es muy interesante en php.
• Observar que el hecho de que aparezca una variable no implica que la variable exista.
• Esto en php puede crear una confusión por su naturaleza dinámica.
• Si en el código aparece esta línea

$edad;

Pregunta

¿A partir de esa línea la variable existe? La respuesta es que existe pero tiene un valor null ¿A partir de esa línea la variable ha sido declarada? En realidad la respuesta es si, como null ¿Tiene algún valor? La respuesta es que tiene el valor null

• Esto puede crear confusiones que debemos aclarar. null, cuando una variable tiene valor null vamos a considerar que no tiene valor, o que no ha sido delcarada.
• Para comprobar probamos el siguiente código

<?php
$variable; //Declaramos una variable de tipo null
 
if (isset($variable))
    echo "OK isset -$variable- <br />";
else
    echo "NO OK isset -$variable- <br />";
 
if (empty($variable))
    echo "OK empty La variable -$variable- <br />";
else
    echo "NO OK empty La variable -$variable- <br />";
 
if (is_null($variable))
    echo "OK is_null  La variable -$variable- <br />";
else
    echo "NO OK is_null  La variable -$variable- <br />";
?>

• Probemos a modificar el valor de $variable por los siguientes valores

$varialbe = null;

$varialbe ="";

$varialbe =0;

$varialbe = true;

$varialbe = false;

• A partir de ello podemos concluir y entender lo que hacen las funciones

//isset — Determina si una variable está definida y no es NULL
 isset($var):bool
//is_null — Comprueba si una variable es NULL
 is_null($var):boll
 empty()

• hay que tener cuidado con el concepto de una variable vacía
• En php los siguientes valores asignados a una variable se considerarán valores vacíos
• "" //Una cadena vacía
• 0 //El valor 0 como entero o como float
• 0.0
• "0"//La cadena de caracteres formada por el carácter 0
• NULL //El valor null
• FALSE //El valor booleano false

Probando el valor leído de un formulario

Realiza una aplicación que leas el valor introducido en una caja de texto Has de informar si no ha insertado ningún valor que lo inserte Si lo ha insertado lo visualizarás Posible solución <?php if (isset($_POST['enviar'])) { $valor = $_POST['valor']; if ((empty($valor)) && ($valor != "0")) $msj = "Debes de aportar un valor válido<br />"; else $msj = "Has insertado el valor -$valor-<br />"; }   //Otra manera más sencillo de escribir lo mismo /* if (isset($_POST['enviar'])) { $valor = $_POST['valor']; if ($valor=="") $msj .= "Debes de aportar un valor válido<br />"; else $msj .= "Has insertado el valor -$valor-<br />"; } */     ?> <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> </head> <body> <?php echo $msj ?> <fieldset> <form action="form1.php" method="POST"> <legend>Inserta Datos</legend> <input type="text" name="valor" id=""> <input type="submit" name="enviar" value="Enviar"> </form> </fieldset> </body> </html>

• Podemos revisar el siguiente código como corlario

<?php
echo "<h3>Probamos la función is_null</h3>";
echo "<hr />";
 
$a;
echo is_null($a)? "SI. <b>\$a </b>, es nulo <br>\n": "NO <b>\$a</b> no es nulo<br>\n"; //SI
$a=null;
echo is_null($a)? "SI. <b>\$a=null</b>, \$a es nulo <br>\n": "NO <b>\$a=null \$a</b> no es nulo<br>\n";//SI
$a=5;
echo is_null($a)? "SI. <b>\$a=5</b>, \$a es nulo <br>\n": "NO <b>\$a=5</b> \$a no es nulo<br>\n";//NO
$a="";
echo is_null($a)? "SI. <b>\$a=\"\"</b>, \$a es nulo <br>\n": "NO <b>\$a=\"\"</b> \$a no es nulo<br>\n";//NO
$a=false;
echo is_null($a)? "SI. <b>\$a=false</b>, \$a es nulo <br>\n": "NO <b>\$a=false</b> \$a no es nulo<br>\n";//NO
$a=0;
echo is_null($a)? "SI. <b>\$a=0</b>,  \$a es nulo <br>\n": "NO <b>\$a=0</b> \$a no es nulo<br>\n";//NO
unset($a); //Eliminamos la variable
 
echo "<h3>Probamos la función isset</h3>";
echo "<hr />";
 
$a;
echo isset($a)? "SI <b>\$a</b> está definido <br>\n": "NO <b>\$a</b> no está definido<br>\n"; //NO
$a=null;
echo isset($a)? "SI <b>\$a=null</b> \$a está definido<br>\n": "NO <b>\$a=null</b> \$a no está definido<br>\n";//NO
$a=5;
echo isset($a)? "SI <b>\$a=5</b> \$a está definido<br>\n": "NO <b>\$a=5</b> \$a no está definido<br>\n";//SI
$a="";
echo isset($a)? "SI <b>\$a=\"\"</b> \$a está definido<br>\n": "NO <b>\$a=\"\"</b> \$a no está definido<br>\n";//SI
$a=false;
echo isset($a)? "SI <b>\$a=false</b> \$a está definido<br>\n": "NO <b>\$a=false</b> \$a no está definido<br>\n";//SI
$a=0;
echo isset($a)? "SI <b>\$a=0</b>  \$a está definido <br>\n": "NO <b>\$a=0</b> \$a no está definido<br>\n";//SI
unset($a); //Eliminamos la variable
 
 
echo "<h3>Probamos la función empty</h3>";
echo "<hr />";
$a;
echo empty($a)? "SI <b>\$a</b> está vacío <br>\n": "NO \$a</b> no es nulo<br>\n"; //SI
$a=null;
echo empty($a)? "SI <b>\$a=null</b> \$a está vacío<br>\n": "NO <b>  \$a=null</b> \$a no está vacío<br>\n";//SI
$a=5;
echo empty($a)? "SI <b>\$a=5</b> \$a está vacío<br>\n": "NO <b>\$a=5</b> \$a no está vacío<br>\n";//NO
$a="";
echo empty($a)? "SI <b>\$a=\"\"</b> \$a está vacío<br>\n": "NO <b>\$a=\"\"</b> \$a no está vacío<br>\n";//SI
$a=false;
echo empty($a)? "SI <b>\$a=false</b> \$a está vacío<br>\n": "NO <b>\$a=false</b> \$a no está vacío<br>\n";//SI
$a=0;
echo empty($a)? "SI <b>\$a=0</b>  \$a está vacío<br>\n": "NO <b>\$a=0</b> \$a no está vacío<br>\n";//SI

• Podemos observar la siguiente salida

isset($variable) emtpy($variable) is_null($variable)

isset($variable) Esta función devuelve true si $variable existe y no tiene valor null is_null($variable) Esta función devuelve true si $variable tiene valor null o no existe Tip: isset y is_null son complementarias. empty($variable) Esta función devuelve true si $variable tiene un valor vacío Tip: Cuidado con los valores siguientes. El string "", El entero 0 El booleano false se consideran valores vacíos en esta función.

Validando valores en el servidor

• Indistintamente de que se validen valores en el cliente, es muy importante validarlos en el servidor
• En php tenemos funciones para validar el tipo de un valor
• Para ello podemos ir al repertorio dónde tenemos todas las funciones para manipular variables

http://php.net/manual/es/ref.var.php

• Cuando leemos un valor de un formulario, siempre lo vamos a leer como una cadena de caracteres, pero podremos verificar algunos valores por conversión implícita

	Algunas conversiones
	"754" y miramos a ver si es un número, nos va a decir que sí "false" o "true" si miramos a ver si es booleano, nos va a decir que no "754" y miramos a ver si es un string, nos va a decir que sí

Validando valores

Haz un programa que podamos ver si un número es entero, float o string

Actividad

Haz un formulario en el que insertemos un número y el servidor web nos visualice la tabla de multiplicar Comprobaremos previamente que la variable exista y tenga un valor numérico isset($variable) , Para ver que exista la variable y no tiene un valor nul is_null($variable) Puedes usarla en lugar de la anterior, recuerda que son complementarias isset($variable) es igual a !is_null($variable) is_null($variable) es igual a !isset($variable) is_numeric($variable) me dice si el valor de la variable es numércio

$nombre = ""; //nombre tendrá el valor nulo pero es de tipo null
if ($nombre==null) //Me dará verdad
    ......
if (is_null($nombre)) //Me dará falso

• A continuación vamos a ver como usar y leer datos de un formulario.

Formulario

Realiza un formulario donde pidamos al usuario datos para confeccionar una ficha Nombre Apellidos Dirección Fecha de nacimiento Edad Idiomas que habla de entre 4 idiomas (Checkbox) Si es hombre, mujer o no quiere informar de ello (radio) Dirección de correo electrónico. Estudios realizados entre ESO, BACHILLER, CICLO FORMATIVO, GRADO UNIVERSITARIO (select) <!DOCTYPE html>   <html> <head> <meta charset="UTF-8"> <title></title> </head> <body> <fieldset style="width:60%"> <legend>Datos personales</legend> <form action="datos.php" method="POST"> <label for="">Nombre</label> <input type="text" name="nombre" id=""> <label for="">Apellido</label> <input type="text" name="apellido" id=""> <br /> <label for="">Direccion</label> <input type="text" name="direccion" id=""> <br> <label for=""> Fecha Nacimiento </label><input type="date" name="fNac" id=""> <br> <label for="">Edad</label> <input type="text" name="edad" id=""> <br />   <b>Idiomas</b><br /> <input type="checkbox" name="idiomas[]" value="castellano" id=""> <label for="">Castellano</label> <br>   <input type="checkbox" name="idiomas[]" value="rumano" id=""> <label for="">Rumano</label> <br>     <input type="checkbox" name="idiomas[]" value="inglés" id=""> <label for="">Inglés</label> <br> <input type="checkbox" name="idiomas[]" value="francés" id=""> <label for="">Francés</label> <br> <b>Género</b><br /> <input type="radio" name="genero" value="masculino" id="">Masculino<br /> <input type="radio" name="genero" value="femenino" id="">Femenino<br /> <input type="radio" name="genero" value="no_aporta" id="">No quiero aportar<br />   <label for="">Dirección de correo</label> <input type="email" name="email" id=""><br /><br /> Estudios <select name="estudios">     <option value="eso">ESO</option><br /> <option value="bach" >BACH</option><br /> <option value="cicloFormativo">Ciclo Formativo</option><br /> <option value="gradoUniversitario">Grado Universitario</option><br /> </select> <hr /> <input type="submit" value="Enviar">   </form> </fieldset>   </body> </html>

• Observa las diferentes forma de poder leer valores filtrando y evitando o no ataques XSS

<?php
 
//Primero leemos las variables
$n3 = filter_input(INPUT_POST, 'nombre');
$n1 = htmlspecialchars($_POST['nombre']);
$n2 = strip_tags($_POST['nombre'], "<b>");
 
 
$n4 = $_POST['nombre'];
 
 
$idiomas1 = $_POST['idiomas'];
var_dump($idiomas1);
 
 
$nombre = filter_input(INPUT_POST, 'nombre', FILTER_SANITIZE_STRING);
 
$apellidos = filter_input(INPUT_POST, 'apellido', FILTER_SANITIZE_STRING);
$edad = filter_input(INPUT_POST, 'edad', FILTER_VALIDATE_INT);
$direccion = filter_input(INPUT_POST, 'direccion', FILTER_SANITIZE_STRING);
$fNac = filter_input(INPUT_POST, 'fNac', FILTER_SANITIZE_STRING);
$idiomas = filter_input(INPUT_POST, 'idiomas', FILTER_DEFAULT, FILTER_REQUIRE_ARRAY);
$genero = filter_input(INPUT_POST, 'genero');
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
$estudios = filter_input(INPUT_POST, 'estudios');
 
//
$mis_idiomas = print_r($idiomas, true);
 
 
//Mostramos los valores como una ficha
?>
<!doctype html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Document</title>
    </head>
    <body>
        <h1>Datos personales de ficha</h1>
        <hr />
        <fieldset style="width:60%; background: azure">
            <h3>Nombre  con htmlspecialchar<span style="color:red"><?= $n1 ?></span></h3>
            <h3>Nombre  con strip_tag<span style="color:red"><?= $n2 ?></span></h3>
            <h3>Nombre <span style="color:red"><?= $nombre ?></span></h3>
            <h3>Nombre con filter sin sanitizar<span style="color:red"><?= $n3 ?></span></h3>
            <h3>Nombre directo de $_POSt<span style="color:red"><?= $n3 ?></span></h3>
            <h3>Apellidos <span style="color:red"><?= $apellidos ?></span></h3>
            <h3>Edad <span style="color:red"><?= $edad ?></span></h3>
            <h3>Fecha de nacimiento <span style="color:red"><?= $fNac ?></span></h3>
            <h3>Idioma <span style="color:red"><?= $mis_idiomas ?></span></h3>
            <h3>Género <span style="color:red"><?= $genero ?></span></h3>
            <h3>Correo <span style="color:red"><?= $email ?></span></h3>
            <h3>Estudios <span style="color:red"><?= $estudios ?></span></h3>
        </fieldset>
 
 
 
    </body>
</html>

Filtrando valores

• Independientemente de que el se validen/verifiquen valores en el cliente, es obligatorio verificarlo siempre en el servidor.
• En otro capítulo veremos temas de seguridad en los datos, pero para ver lo peligroso que puede ser, podría ser que el usuario escribiera un script en una caja de texto. Esto en principio no deberíamos de permitirlo.
• miramos el siguiente código sencillo

<?php
$nombre =$_GET['nombre'];
?>
<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
<form action="seguridad1.php">
    <input type="text" name="nombre" id="">
    <input type="submit" name="enviar" id="">
    <?php echo $nombre ?>
</form>
</body>
</html>

• Ahora observamos lo que ocurre ejecutando esto en chrome y firefox escribiendo en la caja de texto

<script>alert "Cudado!!! esto podría ser peor!!!</source>

Escribimos en chrome

Vemos como chrome corta lo que considera un posible ataque xss

Escribimos el código en firefox

Vemos como en firefox sí que se puede ejecutar XSS

• Hay mucha formas de evitar esto, como htmlpurifier http://htmlpurifier.org/ que analizaremos cuando veamos seguridad en la web.
• De momento nos limitaremos (que ya es una buena forma de garantizar contenido correcto y evitar problemas)a usar funcions del tipo filter http://php.net/manual/es/function.filter-var.php.

Tenemos la opción de filtar_var() y filter_input().

filter_var($variable, $filtro)

1. $variable . Es la variable a filtar. Correspondería al valor del name del input que queremos recuperar.
2. $filtro. Es el tipo de filtro que se quiere aplicar. Para ver los tipos de filtros, consultamos a la página web http://php.net/manual/es/filter.filters.validate.php.

filter_input($tipo_entrada. $variable, $filtro)

1. $tipo_entrada: Uno de los siguientes: INPUT_GET, INPUT_POST, INPUT_COOKIE, INPUT_SERVER o INPUT_ENV.
2. $variable: como en el caso anterior.
3. $filtro: como en el caso anterior.

• Ambas funciones retornan el valor de la variable requerida, o false si el filtro falla o null, si la variable no tenía valor.

Actividad

Filtra los valores en un formulario y verifica el tipo de la variable introducido

• Podemos buscar ejercicios de formularios en la lista ya dada en el tema anterior:

http://www.tecn.upf.es/~ocelma/cpom/practicas/