Cette fiche peut être utilisée pour un site PHP vanille ou encore pour un site WordPress.
La validation d'un formulaire Web est une tâche complexe. Il faut en effet s'assurer que les données entrées par l'usager correspondent au format attendu, qu'elles soient valables et qu'elles ne compromettent pas la sécurité du site Web.
Normalement, une fois que l'usager a cliqué sur le bouton de soumission, les données entrées devraient correspondre au format attendu puisqu'une validation a déjà été effectuée côté client.
Cependant, puisqu'il est possible que le code JavaScript ne soit pas exécuté, il est absolument nécessaire de refaire la validation côté serveur.
Voici les étapes qui permettent de bien valider les données d'un formulaire avec PHP.
▼Publicité Le texte se poursuit plus bas
Afin de se protéger des attaques XSS, les données saisies dans le formulaire devront être converties avec htmlspecialchars().
Grâce à cette précaution, aucune balise <script> et aucun apostrophe ou guillemet ne pourra causer de comportement inattendu.
// *** protection XSS ******************************************************************
foreach ($_POST as $cle => $valeur) {
$_POST[$cle] = htmlspecialchars($valeur, ENT_QUOTES);
}
Dans le cas d'un formulaire WordPress, il faut prendre une précaution supplémentaire en appelant stripslaches_deep().
En effet, WordPress utilise les guillemets magiques, c'est-à-dire qu'il ajoute automatiquement une barre oblique inverse (\) devant les apostrophes et guillemets des données soumises. Cette pratique n'assure cependant pas que les apostrophes et guillemets seront correctement affichés si on doit réafficher les données dans le formulaire.
De plus, on utilisera esc_attr() plutôt que htmlspecialchars() puisque cette fonction, spécifiquement conçue pour WordPress, va plus loin, notamment en empêchant que le texte soit du utf-8 invalide.
// *** protection XSS ******************************************************************
foreach ( $_POST as $cle => $valeur ) {
$_POST[$cle] = esc_attr( stripslashes_deep( $valeur ) );
}
Une donnée sera valable si elle correspond à une valeur acceptée. Pour vous assurer que les données soient valables :
Si au moins une erreur est détectée, il faut afficher un message d'erreur puis permettre à l'usager de corriger la situation en réaffichant le formulaire avec les informations qui y ont été entrées.
Le message doit indiquer clairement chacune des erreurs rencontrées.
Quand les données ont passé toutes les validations, on peut procéder à l'enregistrement ou aux opérations requises pour finaliser le traitement du formulaire.
Bien important, une fois le traitement complété, un message devra indiquer à l'usager si l'opération a été réussie ou non.
Voici un algorithme qui vous aidera à ne rien oublier lorsque vous traitez un formulaire.
Le formulaire est hétéroclite mais il permet d'illustrer différentes validations.
Cet algorithme est bien sûr perfectible. Libre à vous de l'utiliser, de le perfectionner ou de développer votre propre algorithme.
// *** protection XSS ******************************************************************
foreach ($_POST as $cle => $valeur) {
$_POST[$cle] = htmlspecialchars($valeur);
}
// *** initialisation des variables pour clarifier le code *****************************
$modele = $_POST['modele'];
$description = $_POST['description'];
$annee = $_POST['annee'];
$courriel = $_POST['courriel'];
$codePostal = $_POST['codepostal'];
$prix = $_POST['prix'];
// *** validations côté serveur ********************************************************
$messageErreur = '';
// format attendu : champs obligatoires
if ('' == $modele) {
$messageErreur .= 'Le modèle est requis.<br>';
}
if ('' == $description) {
$messageErreur .= 'La description est requise.<br>';
}
// format attendu : longueur des champs
if (!empty($annee) && 4 != mb_strlen($annee)) {
$messageErreur .= 'L\'année, lorsque fournie, doit comporter exactement 4 caractères.<br>';
}
if (mb_strlen($description) > 100) {
$messageErreur .= 'La description ne doit pas comporter plus de 100 caractères.<br>';
}
// format attendu : courriel
$courriel = filter_var($courriel, FILTER_SANITIZE_EMAIL); // on commence par enlever les caractères non acceptés
if (!filter_var( $courriel, FILTER_VALIDATE_EMAIL)) {
$messageErreur .= 'Le courriel n\'est pas valide. Il doit être au format unnom@undomaine.uneextension.<br> Il doit comporter un seul caractère @.<br> Ce caractère doit être suivi d\'un nom de domaine qui contient au moins un point puis une extension.<br> Les caractères spéciaux ne sont pas acceptés.<br>';}
// format attendu : code postal canadien
if(!preg_match("/^[ABCEGHJKLMNPRSTVXYabceghjklmnprstvxy][0-9][ABCEGHJKLMNPRSTVWXYZabceghjklmnprstvwxyz] ?[0-9][ABCEGHJKLMNPRSTVWXYZabceghjklmnprstvwxyz][0-9]$/i",$codePostal)) {
$messageErreur .= 'Le code postal n\'est pas valide. Il doit être au format A9A 9A9.<br> Les lettres D, F, I, O, Q et U ne sont pas acceptées.<br> Les lettres W et Z sont acceptées mais pas en première position.<br>';
}
// format attendu : téléphone
if(!preg_match("/^[0-9]{3} [0-9]{3}-[0-9]{4}$/", $telephone)) {
$messageErreur .= 'Le téléphone n\'est pas valide. Il doit être au format 999 999-9999.<br>';
}
// données valables : champs numériques
if (!empty($annee) && !ctype_digit($annee)) {
$messageErreur .= 'L\'année n\'est pas valide. Lorsqu\'elle est fournie, elle doit être un entier.<br>';
}
//données valables : valeur décimale
if (!empty($prix)) {
// si on n'a pas besoin de vérifier la valeur maximale, omettre le else
if (!is_numeric($prix)) {
$messageErreur .= 'Le prix n\'est pas valide. Lorsqu\'il est fourni, il doit être un nombre qui peut comporter une partie décimale.<br>';
} else {
// si on vérifie avec l'expression régulière, pas besoin de vérifier le is_numeric()
if (!preg_match("/^[0-9]{1,3}([.,][0-9]{1,2})?$/", $prix)) {
$messageErreur .= 'Le prix n\'est pas valide. Lorsqu\'il est fourni, il doit être au format 999.99.<br>';
}
}
}
// données valables : clés étrangères
$requete = "..."; // voir "Valider la clé étrangère saisie dans un formulaire avec PHP"
...
if (0 == $stmt->num_rows) { // sous WordPress, on fera plutôt if ( $wpdb->num_rows > 0 )
$messageErreur .= 'Le modèle choisi n\'est pas valide.<br>';
}
// réagir selon que les données sont valides ou non
if ('' != $messageErreur) {
// mécanisme pour afficher les erreurs de validation à l'usager
} else {
// enregistrement des données avec mécanisme pour indiquer à l'usager si l'enregistrement a fonctionné
}
Site fièrement hébergé chez A2 Hosting.