Validierung von SDI/MDI-Formulardaten

Form-Eingabe-Unterstützung für HTML5-Elemente

Beispiele:

Vorname:     <input type="text" name="NAME" required />
E-Mmail-Adr: <input type="email" name="email" required placeholder="Gültige E-Mail-Adr" />
Website-URL: <input type="url" name="URL" required pattern="https?://.+" />
Zahlenwert:  <input type="number" size="6" name="WERT" min="18" max="99" value="21" />
Bereich:     <input type="range" size="2" name="BEREICH" min="1" max="5" value="3" />
<input type="submit" value="Submit" />

Vorname:     
E-Mmail-Adr: 
Website-URL: 
Zahlenwert:  
Bereich:

Clientseitige Prüfungen von Formular-Eingabedaten ECMAScript aggiert vor dem Wegschicken ...

Oft sind Eingabedaten nur dann sinnvoll verwendbar, wenn diese Daten bestimmten formalen Anforderungen genügen. Z.B. muss eine E-Mail-Adresse zumindest das "@"-Zeichen enthalten, eine Telefon-Nummer besteht aus Ziffern, usw. Eine Prüfung der eingegebenen HTML-Formmular-Daten kann auf der Client- oder/und der Server-Seite erfolgen.

Die clientseitige Formular-Prüfung vermeidet eine unnötige Netzlast, "schont die Augen" und ist schneller (Übertragungszeit). Auch kann z.B. der Cursor/Caret auf die fehlerhafte Eingabestelle positioniert werden. Die clientseitige Formular-Prüfung verwendet ECMAScript (Browser) um die Formularelement-Eingaben zu prüfen.

Z.B. kann bei einem Klick auf den submit-Button eines Formulars zunächst onsubmit="return meine_pruefungen(this)" aufgerufen werden. onsubmit="..." gehört in das form-Tag. Gibt die meine_pruefungen()-Funktion false zurück, so wird kein action = "..."-Ereignis ausgelöst, d.h. onsubmit="return false;" verhindert die HTTP-Übermittlung der Formulardaten zum Server.

Typisches HTML-Formular Wie sieht ein typisches HTML-aus?

Das folgende Formular dient dazu, etwas konkretes "vor Augen" zu haben. Durch eine Klick auf den submit-Butten werden die Formular-Daten mit dem HTTP-POST-Protokoll an den Server übermittelt. Vereinfacht ausgedrückt erhält der Server die zu (name, value) gehörenden Werte-Paare. PHP stellt diese Werte-Paare in dem super-globalen $_POST-Array zur Verfügung.

Die durchgestrichene Zeile weist darauf hin, daß die Datenübermittlung (ohne ECMAScript) durch den submit-Button ausgelöst wird. Eine clientseitige Validierung braucht (ohne HTML5) ECMAScript.

Soll eine clientseitige, erfolgreiche Validierung "erzwungen" werden, so kann die Datenübermittlung durch einen 'nicht-submit'-Button ausgelöst werden, indem die ECMAScript-Funktion .submit() die Datenübermittlung startet. In diesem Fall wird kein submit-Button benötigt. Ist beim Browser ECMAScript deaktiviert, so erfolgt keine Daten-Übermittlung. Eine Datenübermittlung kommt nur bei aktiviertem ECMAScript und erfolgreicher Validierung zustande.

name="NAME" value=" Maier, Hans"
name="ORT" value="D-xxxxx MeinWohnort"
name="TEL" value="12345678 abc"
name="EMAIL" value="aa@bb.cc"

Code Snippet: HTML-Quelltext für ein Formular

<form name="FORM" method="post" enctype="multipart/form-data"
action = "javascript:alert('Jetzt wird \'action=...\' ausgeführt');">
<pre>
Herr <input type="radio" name="RADIO" checked="checked"/>
Frau <input type="radio" name="RADIO" />
Nachname, Vorname <input type="text" name="NAME" value=" Maier, Hans" />
PLZ und Wohnort <input type="text" name="ORT" value="D-xxxxx MeinWohnort" />
Telefon-Nummer <input type="text" name="TEL" value="12345678 abc" />
E-Mail-Adresse <input type="text" name="EMAIL" value="aa@bb.cc" />
<input type="checkbox" name="WONT_INFO" checked="checked"/> INFO
<textarea name="INFO" rows="3" cols="15"
style="width:300px !important">...</textarea>
Abschicken mit 'submit' <input type="submit" name="__SUBMIT" value="Submit " />
~~Abschicken mit 'button' <input type="button" name="__SENDEN" value="Senden" />~~
</pre>
</form>

onsubmit-Ereignis (form-Tag) Wozu wird onsubmit gebraucht?

Ein form-Tag kann eine onsubmit=...-Attribut enthalten. Ein Klick auf den submit-Button löst (bei aktiviertem ECMAScript) das onsubmit-Ereignis aus. Steht im form-Tag z.B. onsubmit="return false", so erfolgt kein Versenden der Formulardaten, d.h der Aufruf von action=... unterbleibt.

Hingegen bewirkt z.B. ein onsubmit="return true" die nachfolgende Übermittlung der Formulardaten an die Verarbeitungsseite, die unter
action = "meine_serverseitige_verarbeitung.php"> eingetragen ist.

Code Snippet: form-Tag mit onsubmit

<form method="post"
enctype="multipart/form-data"
onsubmit="return validiere(this)"
action = "meine_serverseitige_verarbeitung.php">
... hier sind weitere Formularelemente ...
<input type="submit" value="Submit" />
</form>

Validierungsfilter (allgemein) Wie soll validiert werden?

H. Stanley Judd:
"The ultimate security is your understanding of reality."

Ziel einer Validierung ist es, dem User Hilfestellungen für unzulässige Eingaben zu geben, Vandalismus zu unterbinden und unzulässige Zeichen und Teilstrings zu löschen. Es sollen lediglich zulässige Zeichen und zulässige Muster übertragen werden.

So sollte z.B. eine eingegebene eMail-Adresse gültig sein. Eine IP-Adresse (IPv4/IPv6) sollte gültig sein.
So kann z.B. das Entfernen von Zeichen gewünscht sein:

keine HTML-kodierte Zeichen "" < > &
keine Zeichen mit einem ASCII-Wert kleiner als 32
nur Buchstaben, Ziffern und ! # $ % & ' * +- =? ^ _ ' {|} ~ @.]
nur Buchstaben, Ziffern und $-_. +! * ' (), {} |\\ ^ ~ [] ' <> # "; /?: @ & =

So kann z.B. das Prüfen von String/Zahlen-Darstellungen und String/Zahlen-Bereichen gewünscht sein:

nur Ziffern und +-,
nur (int/float)-Zahlen aus einem vorgeschriebenen Geltungsbereich.
nur Zeichenketten mit einer min./max-Anzahl von Zeichen.

Wie kann solches realisiert werden? Hierzu können hilfreich sein: Reguläre Ausdrücke und benutzer-definierte Funktion zum filtern von Daten und zum entfernen oder kodieren von Sonderzeichen.

Filter-Aufrufzuordnung (Idee) Wie wird sowas flexibel gemacht?

Das name-Attribut identifiziert das Eingabefeld. Der zugeordnete name-String des Eingabefeldes soll auch als Array-Name für die zugeordneten Filter dienen. Dadurch ist klar, welches Eingabefeld (beim Abchicken) mit welchen Filtern geprüft wird.

Code Snippet. Prinzip des HTML-Formulares

<form name="FORM" ... >
<input name="NAME" ... />
<input name="ORT" ... />
<input name="TEL" ... />
<input name="EMAIL" ... />
<textarea name="INFO" ...>...</textarea>
</form ... >

Code Snippet: Aufruf von check({...})

.check({
'NAME' :['TRIM', 'ANZ_3_99', 'HAS_KOMMA'],
'ORT' :['ANZ_3_99', 'HAS_BLANK', 'HAS_NUM'],
'TEL' :['TELEFON'],
'EMAIL':['EMAIL'],
'INFO' :['ANZ_0_9999']
});

Formular-Initialisierung (Aufruf) Wie wird die Formular-Initialisierung gemacht?

Im Header (unter window.onload = function() { ... }) wird die folgende Formular-Initialisierung aufgerufen:

Code Snippet: Formular-Initialisierung in window.onload = function() { ... }

validate.formular('FORM')
.colors('#efd','#fdd')
.submit_with('__SENDEN')
.check({
'NAME' :['TRIM', 'ANZ_3_99', 'HAS_KOMMA'],
'ORT' :['ANZ_3_99', 'HAS_BLANK', 'HAS_NUM'],
'TEL' :['TELEFON'],
'EMAIL':['EMAIL'],
'INFO' :['ANZ_0_9999']
});

Programmier-Beiwerk Welche 'flankierenden' Funktionen werden gebrauch?

Code Snippet: Welche (Hilfs-) Funktionen

// Hinterlege vom form-Tag name='form_nam'
// in privater Variable NAME
formular: function (form_nam) {
NAME = form_nam;
return this;
},
// Hinterlege die Prüfvorschriften in der
// in dem privater Check-Objekt CO und
// schreibe in das form-Tag die onsubmit-Funktion
check: function (check_objekte) {
CO = check_objekte;
document.forms[NAME].onsubmit = function() {
return validate.do_check();
}; return this;
},
// Verwende anstelle eines submit-Butten
// den Butten mit name='name_send_button'
submit_with: function (name_send_button) {
document.forms[NAME][name_send_button].onclick = function() {
if(validate.do_check()){ document.forms[NAME].submit();}
}; return this;
},
// Hinterlege die Hintergrund-Farben
// im privater Color-Objekt CO
colors: function (bg0,bg1) {
COL.bg0 = bg0; // OK-Hintergrund-Farbe
COL.bg1 = bg1; // Error-Hintergrund-Farbe
return this;
}

Code für das validate-Objekt Wie sieht der gesamte validate-Code aus?

Code Snippet

"use strict";
var validate = (function () {
var NAME = null, // name = NameAttribut des Form-Tags
CO = {}, // Check, wie 'ORT':['ANZ_3_99', 'HAS_BLANK', 'HAS_NUM'],,
CA = ['ENTITIFY'], // Pflicht-Transform fuer alle Elemente
COL = { bg0:"#fff", bg1:"#fee" },
re = {'HAS_KOMMA': /[,]/,
'NO_KOMMA': /[^,]/,
'HAS_BLANK': /[ ]/,
'HAS_NUM': /^[\s\S]*?[0-9]+[\s\S]*?$/,
'IS_NUM': /[0-9]+/,
'ANZ_3_99': /^[\s\S]{3,99}$/,
'ANZ_0_9999':/^[\s\S]{0,9999}$/,
'TELEFON': /^\D{0,4}[\- 0-9]{4,18}$/,
'EMAIL': /\b[a-zA-Z0-9._%\+\-]+@(?:[a-zA-Z0-9\-]+\.)+[a-zA-Z]{2,4}\b/,
'TRIM': function(s) {return s.replace(/^\s+|\s+$/g,""); },
'ENTITIFY':function (s) {
return s.replace(/\</g,'<').replace(/\>/g, '>').replace(/\&/g, '&').
replace(/&/g, '&').replace(/</g,'<').replace(/>/g, '>');
},
'ESCAPING': function(s) {
s = re.TRIM(s).replace(/^\"([\s\S]*?)\"$/g, '$1').replace(/\\\\/g, '\\');
return ('"' + s.replace(/(["\\])/g, '\\$1') + '"').
replace(/[\f]/g, "\\f").replace(/[\b]/g, "\\b").
replace(/[\n]/g, "\\n").replace(/[\t]/g, "\\t").
replace(/[\r]/g, "\\r");
}
};
return {
do_check: function (){
var i, k, rk, val, arr, tag, nam, bflag,
inp = document.forms[NAME].elements, OK = true; //true ruft action="..."
for( i=0; i < inp.length; i += 1 ) {
nam = inp[i].name; if(nam==='undefined'){continue;}
val = inp[i].value;
tag = inp[i].tagName.toLowerCase();
if(tag ==="input" || tag === "textarea") {
inp[i].style.backgroundColor = COL.bg0;
for( k=0; k < CA.length; k += 1 ) {
rk = re[CA[k]]; // default-Transf für alle Elemente
if(typeof rk === 'function') {
val = rk(val);
inp[i].value = val;
}
}
arr = CO[nam]; if(typeof arr !== 'object'){continue;}
for( k=0; k < arr.length; k += 1 ) {
rk = re[arr[k]]; // individueller Check
if(typeof rk === 'function') {
val = rk(val);
inp[i].value = val;
} else if(typeof rk === 'object') {
try {bflag = re[arr[k]].test(val);
} catch (e) {
inp[i].style.backgroundColor = COL.bg1;
alert("ERR: inp["+i+"]:"+e);
}
if( !bflag ) { OK = false;
inp[i].style.backgroundColor = COL.bg1;
}
}
} // ende if (typeof ...
} // ende for ...
} return OK;
},
formular: function (form_nam) {
NAME = form_nam;
try {
if(document.forms[NAME].tagName.toLowerCase() === "form")
{ return this; } } catch (e1) { alert("ERR: form name='?'");
} return null;
},
check: function (check_objekte) {
CO = check_objekte;
document.forms[NAME].onsubmit = function() {
return validate.do_check();
}; return this;
},
submit_with: function (name_send_button) {
document.forms[NAME][name_send_button].onclick = function() {
if(validate.do_check()){ document.forms[NAME].submit();}
}; return this;
},
colors: function (bg0,bg1) {
COL.bg0 = bg0;
COL.bg1 = bg1;
return this;
}
};}());

Beispiel: Test-Formular Wie sieht es praktisch aus?

Dieses Formular entspricht der obigen Beschreibung. Die Eingabetexte werden vor dem Wegschicken der Daten validiert. Zsätzlich zur obigen Beschreibung wurde eine CAPTCHA -Möglichkeit eingebaut.

 Herr 
 Frau 
 Nachname, Vorname 
 PLZ und Wohnort   
 Telefon-Nummer    
 E-Mail-Adresse    
  INFO 
                   ...
 
 Bitte den Sicherheitscode (nur die Ziffern) eingeben 
   
 Falls unleserlich bitte neue Ziffern und anhören
 
 Abschicken mit 'submit'  
 Abschicken mit 'button'

Erweiterung: Mehrere-Formulare je Seite Wie geht sowas?

Das obige validiere-Objekt verwendet private Variablen. Diese gehören zu einem Formular. Sollen je Seite mehrere Formulare validiert werden, so kann zum mitprotokollieren der Formulare ein Objekt G verwendet werden, das durch

 formular: function (form_nam) {
  ID = document.title.replace(/([^a-zA-Z0-9_])/g, "") + "_" + form_nam;
  if (!G[ID]) { G[ID] = Object.create(G.X); } 
   G[ID].NAME = form_nam;
         NAME = form_nam;
   G[ID].ID = ID;
   try {
     if(document.forms[G[ID].NAME].tagName.toLowerCase() === "form") 
     { return this; } } catch (e1)  { alert("ERR: form name='?'"); 
   } return null;
 },

kreiert wird. Achtung! Der folgende Code ist nicht 'perfekt', sondern soll lediglich das Prinzip zeigen.

Code Snippet: Validiere mehrere Form's je Seite

var validate = (function () {
var G = { // eindeutig
"X": {
ID : null, // eindeutig aus titel und Formname
NAME : null, // = NameAttribut des aktuellen Form-Tags
CO :{} // Check, wie 'ORT':['ANZ_3_99', 'HAS_BLANK', 'HAS_NUM'],,
}
},
NAME = null, // = NameAttribut des aktuellen Form-Tags
ID = null, // eindeutig aus titel und Formname
CA = ['ENTITIFY'], // Pflicht-Transform fuer alle Elemente
COL = { bg0:"#fff", bg1:"#fee" },
capcha_data = {anz:4, txt:'', num:'',id_txt:'',id_alert:''},
re = {'HAS_KOMMA': /[,]/,
'NO_KOMMA': /[^,]/,
'HAS_BLANK': /[ ]/,
'HAS_NUM': /^[\s\S]*?[0-9]+[\s\S]*?$/,
'IS_NUM': /[0-9]+/,
'ANZ_3_99': /^[\s\S]{3,99}$/,
'ANZ_0_9999':/^[\s\S]{0,9999}$/,
'TELEFON': /^\D{0,4}[\- 0-9]{4,18}$/,
'EMAIL': /\b[a-zA-Z0-9._%\+\-]+@(?:[a-zA-Z0-9\-]+\.)+[a-zA-Z]{2,4}\b/,
'TRIM': function(s) {return s.replace(/^\s+|\s+$/g,""); },
'ENTITIFY':function (s) {
return s.replace(/\</g,'<').replace(/\>/g, '>').replace(/\&/g, '&').
replace(/&/g, '&').replace(/</g,'<').replace(/>/g, '>');
},
'ESCAPING': function(s) {
s = re.TRIM(s).replace(/^\\cf5 "([\s\S]*?)\"$/g, '$1').replace(/\\"/g, '"').replace(/\\\\/g, '\\');
return ('"' + s.replace(/(["\\])/g, '\\$1') + '"').
replace(/[\f]/g, "\\f").replace(/[\b]/g, "\\b").
replace(/[\n]/g, "\\n").replace(/[\t]/g, "\\t").
replace(/[\r]/g, "\\r");
},
'PASSWORT_TEST': function(s) {
s = s.replace(/^\s+|\s+$/g,"").replace(/\s+/g," ");
var a2 = s.split(" ");if(a2.length!==2){return "";}
if(a2[0] === a2[1]){alert("Passwort-Test (bzw. PW-Initialisierung)");
} else {alert("Neues Passwort soll altes Passwort ersetzten");
} return s;
},
'CAPCHA': function(s) { return capcha_data.num === re.TRIM(s); }
};
return {
do_check: function (tn){
var i, k, rk, val, arr, tag, nam, bflag, inp, OK = true; //true ruft action="..."
ID = G[tn].ID;
NAME = G[tn].NAME;
inp = document.forms[NAME].elements;
for( i=0; i < inp.length; i += 1 ) {
nam = inp[i].name; if(nam==='undefined'){continue;}
val = inp[i].value;
tag = inp[i].tagName.toLowerCase();
if(tag ==="input" || tag === "textarea") {
inp[i].style.backgroundColor = COL.bg0;
for( k=0; k < CA.length; k += 1 ) {
rk = re[CA[k]]; // alle Elemente: default-Transf
if(typeof rk === 'function') {
val = rk(val); inp[i].value = val;
}
}
arr = G[tn].CO[nam]; if(arr === undefined){continue;}
for( k=0; k < arr.length; k += 1 ) {
rk = re[arr[k]]; // individueller Check
if(typeof rk === 'function') {
if(arr[k] !== 'CAPCHA') {
val = rk(val); inp[i].value = val;
} else if(!rk(val)) { OK = false;
inp[i].style.backgroundColor = COL.bg1;
}
} else if(typeof rk === 'object') {
try {bflag = re[arr[k]].test(val);
} catch (e) {
inp[i].style.backgroundColor = COL.bg1;
alert("ERR: inp["+i+"]:"+e);
}
if( !bflag ) { OK = false;
inp[i].style.backgroundColor = COL.bg1;
}
}
} // ende if (typeof ...
} // ende for ...
} return OK;
},
formular: function (form_nam) {
NAME = form_nam;
ID = document.title.replace(/([^a-zA-Z0-9_])/g, "") + "_" + form_nam;
if (!G[ID]) { G[ID] = Object.create(G.X); }
G[ID].NAME = form_nam;
G[ID].ID = ID;
try {
if(document.forms[G[ID].NAME].tagName.toLowerCase() === "form")
{ return this; } } catch (e1) { alert("ERR: form name='?'");
} return null;
},
check: function (check_objekte) { // meint set-check
ID = document.title.replace(/([^a-zA-Z0-9_])/g, "") + "_" + NAME;
G[ID].CO = check_objekte;
document.forms[G[ID].NAME].onsubmit = function(ID) {
return function(){
return validate.do_check(ID);
};
}(ID); return this;
},
submit_with: function (name_send_button) {
ID = document.title.replace(/([^a-zA-Z0-9_])/g, "") + "_" + NAME;
document.forms[G[ID].NAME][name_send_button].onclick = function(ID) {
return function(){
if(validate.do_check(ID)){
document.forms[G[ID].NAME].submit();
}
};
}(ID); return this;
},
colors: function (bg0,bg1) {
COL.bg0 = bg0;
COL.bg1 = bg1;
return this;
},
captcha: function () {
var arr = [ // roman 8544,...
49, 50, 51, 52, 53, 54, 55, 56, 57,
49, 50, 51, 52, 53, 54, 55, 56, 57,
10102, 10103, 10104, 10105, 10106, 10107, 10108, 10109, 10110,
10122, 10123, 10124, 10125, 10126, 10127, 10128, 10129, 10130,
9312, 9313, 9314, 9315, 9316, 9317, 9318, 9319, 9320,
10112, 10113, 10114, 10115, 10116, 10117, 10118, 10119, 10120,
9332, 9333, 9334, 9335, 9336, 9337, 9338, 9339, 9340,
9352, 9353, 9354, 9355, 9356, 9357, 9358, 9359, 9360], len = arr.length,
i, j, k, sty = 'font-style:italic;';
capcha_data.txt=''; capcha_data.num='';
for (i=0; i < capcha_data.anz; i += 1) {
j = 0.95 + Math.random() * 1.6;
k = Math.floor(Math.random() * len);
capcha_data.num += 1 + k%9;
if(k%3===0) { capcha_data.txt += "<span style='"+sty+"'>&#";
} else { capcha_data.txt += "<span style='font-size:"+j+"em;'>&#";
} capcha_data.txt += arr[k]+"; </span>";
} //return {num:capcha_data.num, txt:capcha_data.txt, dlg:alert(num)};
},
captcha_id: function (id_txt, id_alert) {
this.captcha();
//validate.captcha();
capcha_data.id_txt = id_txt || capcha_data.id_txt;
document.getElementById(capcha_data.id_txt).innerHTML = capcha_data.txt;
return this;
},
captcha_alert: function () { alert(capcha_data.num); return this; }
};}());

Validieren von Formular-Eingaben (SDI) Beispiele formular-validieren