当前位置：首页 > news >正文

第十一章-PHP表单传值

news 来源：原创 2025/4/28 5:58:48

第十一章-PHP表单传值

一，核心概念

1. 表单的基本结构（HTML）

通过HTML的<form>标签定义表单，关键属性包括：

action: 指定处理表单数据的PHP脚本路径（如action="process.php"）。
method: 定义数据传输方式，常用GET或POST。

<form action="process.php" method="post"><input type="text" name="username"><input type="password" name="password"><input type="submit" value="提交">
</form>

2. PHP接收表单数据的超全局变量

PHP通过预定义超全局变量获取表单数据：

$_GET: 接收通过method="get"提交的数据（数据附加在URL中）。
$_POST: 接收通过method="post"提交的数据（数据通过HTTP请求体传输）。
$_REQUEST: 合并了$_GET、$_POST和$_COOKIE的数据（不推荐，因安全性低）。

示例：获取数据

// 通过POST获取表单字段
$username = $_POST['username'];
$password = $_POST['password'];

3. GET vs POST的区别

3.1 底层原理

GET请求：
- 数据通过URL参数传输，如 process.php?name=John&age=25。
- 浏览器历史记录和服务器日志会保存完整URL。
POST请求：
- 数据在HTTP请求体中传输，不可见。
- 适用于敏感操作（如修改数据库）。

3.2 使用场景扩展

GET的典型场景：
- 搜索引擎关键词传递：search.php?q=keyword。
- 分页导航：articles.php?page=2。
POST的典型场景：
- 用户注册、登录、支付操作。
- 上传文件或提交大型文本（如博客文章）。

特性	GET	POST
数据位置	URL参数（可见）	HTTP请求体（不可见）
数据长度限制	受URL长度限制（约2048字符）	无限制（服务器配置可能限制）
安全性	不适合敏感数据（如密码）	相对更安全
缓存/书签	可缓存、可收藏为书签	不可缓存
典型用途	搜索、分页等非敏感操作	登录、注册、文件上传

4. 安全性注意事项

过滤输入：始终验证和清理用户输入，避免SQL注入、XSS攻击。
```
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
```
防止CSRF：使用令牌（Token）验证请求来源。
文件上传：需设置enctype="multipart/form-data"，并通过$_FILES处理。

5. 完整示例

HTML表单（`form.html`）：

<form action="process.php" method="post">邮箱：<input type="email" name="email">密码：<input type="password" name="password"><input type="submit" value="登录">
</form>

PHP处理脚本（`process.php`）：

if ($_SERVER['REQUEST_METHOD'] === 'POST') {$email = $_POST['email'];$password = $_POST['password'];// 简单验证if (!empty($email) && !empty($password)) {echo "登录成功！邮箱：$email";} else {echo "请填写所有字段！";}
}

6. 其他传值方式

文件上传：使用$_FILES处理。
隐藏字段：<input type="hidden" name="id" value="123">传递隐藏数据。
Session/Cookie：结合$_SESSION和$_COOKIE管理用户状态。

二，表单传值方式

1. 基础传值方式

(1) GET 方法

特点：
- 数据通过URL参数传递（如 ?key1=value1&key2=value2）。
- 数据可见、长度受限（约2048字符）。
- 可缓存、可书签保存。
适用场景：
- 搜索、分页、筛选等非敏感操作。

示例：

<form action="search.php" method="get"><input type="text" name="keyword"><input type="submit" value="搜索">
</form>

// PHP获取数据
$keyword = $_GET['keyword'];

(2) POST 方法

特点：
- 数据通过HTTP请求体传输，不可见。
- 无长度限制（受服务器配置影响）。
- 不可缓存，适合敏感操作。
适用场景：
- 用户登录、注册、文件上传等。

示例：

<form action="login.php" method="post"><input type="text" name="username"><input type="password" name="password"><input type="submit" value="登录">
</form>

$username = $_POST['username'];
$password = $_POST['password'];

2. 扩展传值方式

(1) 隐藏字段（Hidden Fields）

用途：
- 传递无需用户填写但后端需要的数据（如用户ID、令牌）。

示例：

<form action="update.php" method="post"><input type="hidden" name="user_id" value="123"><input type="text" name="new_email"><input type="submit" value="更新邮箱">
</form>

$user_id = $_POST['user_id'];

(2) 文件上传（File Upload）

特点：
- 需设置表单的 enctype="multipart/form-data"。
- 通过 $_FILES 超全局数组处理文件。

示例：

<form action="upload.php" method="post" enctype="multipart/form-data"><input type="file" name="avatar"><input type="submit" value="上传头像">
</form>

$file_name = $_FILES['avatar']['name'];
$tmp_path = $_FILES['avatar']['tmp_name'];
move_uploaded_file($tmp_path, "uploads/$file_name");

3. 高级传值技术

(1) AJAX 异步传值

用途：
- 不刷新页面提交数据，提升用户体验。

示例（使用JavaScript Fetch API）：

// 前端代码
document.getElementById('myForm').addEventListener('submit', function(e) {e.preventDefault();const formData = new FormData(this);fetch('api/save.php', {method: 'POST',body: formData}).then(response => response.json()).then(data => console.log(data));
});

// PHP返回JSON响应
header('Content-Type: application/json');
echo json_encode(['status' => 'success']);

(2) Session 和 Cookie

Session：

服务器端存储用户状态，通过 $_SESSION 访问。

session_start();
$_SESSION['user_id'] = 123; // 存储
$userId = $_SESSION['user_id']; // 读取

Cookie：

客户端存储数据，通过 $_COOKIE 访问。

setcookie('theme', 'dark', time() + 3600); // 设置
$theme = $_COOKIE['theme']; // 读取

4. RESTful API 传值方式

(1) HTTP 方法扩展

PUT/DELETE：

用于更新或删除资源（需通过AJAX或框架模拟）。

// 伪代码：通过POST模拟PUT
if ($_POST['_method'] === 'PUT') {// 处理更新逻辑
}

(2) JSON 数据传值

前端发送JSON：

fetch('api/users', {method: 'POST',headers: { 'Content-Type': 'application/json' },body: JSON.stringify({ name: 'John', age: 30 })
});

PHP接收JSON：

$data = json_decode(file_get_contents('php://input'), true);
$name = $data['name'];

5. 安全性对比与选择建议

传值方式	安全性	适用场景	注意事项
GET	低	公开数据查询	避免传递敏感信息
POST	中	表单提交、敏感操作	结合HTTPS使用
Session	高	用户登录状态、跨页面数据共享	及时销毁Session防止会话固定
Cookie	中	客户端偏好设置	避免存储敏感数据
AJAX/JSON	高	前后端分离、API交互	需验证来源和CORS配置

6. 最佳实践

始终验证输入：

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
if (!$email) die("邮箱格式无效");

防范CSRF：

// 生成Token
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
// 表单中嵌入
<input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
// 验证Token
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) die("非法请求");

使用HTTPS：
- 对敏感数据传输强制启用HTTPS。

三，接收数据方式

1. 基础数据接收方式

(1) 通过 `$_GET` 接收URL参数

场景：处理 method="get" 表单或URL中的查询参数（如 ?id=123）。

示例：

// URL: example.com?name=John&age=25
$name = $_GET['name'] ?? '未填写姓名'; // 使用空合并运算符避免未定义错误
$age = filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT); // 过滤并验证为整数

(2) 通过 `$_POST` 接收表单数据

场景：处理 method="post" 的表单提交。

示例：

// 表单字段：<input type="text" name="email">
$email = $_POST['email'] ?? '';
// 使用过滤器验证邮箱格式
$email = filter_var($email, FILTER_VALIDATE_EMAIL);
if (!$email) {die("邮箱格式无效");
}

(3) 通过 `$_REQUEST` 接收混合数据

注意：$_REQUEST 合并了 $_GET、$_POST 和 $_COOKIE，但不推荐使用（安全性低，优先级不可控）。

示例：

$data = $_REQUEST['key']; // 可能来自GET、POST或COOKIE

2. 复杂数据接收方式

(1) 接收数组数据

场景：表单中多选框（Checkboxes）或同名字段。

HTML示例：

<input type="checkbox" name="hobbies[]" value="reading"> 阅读
<input type="checkbox" name="hobbies[]" value="sports"> 运动

PHP处理：

$hobbies = $_POST['hobbies'] ?? [];
if (!empty($hobbies)) {foreach ($hobbies as $hobby) {echo htmlspecialchars($hobby); // 转义输出防止XSS}
}

(2) 接收文件数据（`$_FILES`）

场景：文件上传表单（需设置 enctype="multipart/form-data"）。

HTML示例：

<form action="upload.php" method="post" enctype="multipart/form-data"><input type="file" name="file_upload">
</form>

PHP处理：

$file = $_FILES['file_upload'];
if ($file['error'] === UPLOAD_ERR_OK) {$tmp_name = $file['tmp_name'];$target_path = "uploads/" . basename($file['name']);move_uploaded_file($tmp_name, $target_path);
}

(3) 接收JSON数据

场景：前端通过AJAX发送JSON格式数据（如API请求）。

PHP处理：

$json_data = file_get_contents('php://input'); // 读取原始输入流
$data = json_decode($json_data, true); // 转换为关联数组
if (json_last_error() !== JSON_ERROR_NONE) {die("JSON解析失败");
}
$username = $data['username'] ?? '';

3. 安全性处理

(1) 输入过滤与验证

推荐函数：filter_input()、filter_var()

示例：

// 过滤并验证整数
$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
if ($id === false || $id < 1) {die("ID无效");
}// 清理字符串（移除标签和空格）
$comment = filter_input(INPUT_POST, 'comment', FILTER_SANITIZE_STRING);
$comment = trim($comment);

(2) 防止SQL注入

使用预处理语句（PDO示例）：

$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(['email' => $_POST['email']]);
$user = $stmt->fetch();

(3) 防止跨站请求伪造（CSRF）

生成并验证Token：

session_start();
// 生成Token
if (empty($_SESSION['csrf_token'])) {$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// 表单中嵌入Token
<input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
// 验证Token
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {die("非法请求");
}

4. 其他数据接收方式

(1) 命令行参数（`$argv` 和 `$argc`）

场景：PHP CLI（命令行界面）脚本接收参数。

示例：

php script.php arg1 arg2

// script.php
print_r($argv); // 输出：Array([0] => script.php, [1] => arg1, [2] => arg2)

(2) 接收HTTP头部信息（`getallheaders()` 或 `$_SERVER`）

场景：获取请求头信息（如认证Token）。

示例：

$headers = getallheaders();
$auth_token = $headers['Authorization'] ?? '';

(3) 处理PUT/DELETE请求

场景：RESTful API中处理非POST请求。

示例：

if ($_SERVER['REQUEST_METHOD'] === 'PUT') {parse_str(file_get_contents('php://input'), $put_data);$id = $put_data['id'];// 处理更新逻辑
}

5. 最佳实践总结

始终检查变量是否存在：

// 使用 isset() 或空合并运算符
$value = $_POST['key'] ?? 'default';

优先使用过滤器函数：

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

避免直接使用未过滤的数据：

// 错误示例（易受XSS攻击）
echo $_GET['content'];
// 正确做法
echo htmlspecialchars($_GET['content']);

严格限制文件上传类型和大小：

$allowed_types = ['image/jpeg', 'image/png'];
if (!in_array($_FILES['file']['type'], $allowed_types)) {die("只允许上传JPEG和PNG图片");
}

四，PHP处理复选框

1. HTML复选框基础

1.1 正确命名复选框

关键点：使用数组形式命名（name="字段名[]"），以便PHP接收多个值。

示例：

<form action="process.php" method="post"><input type="checkbox" name="hobbies[]" value="reading"> 阅读<input type="checkbox" name="hobbies[]" value="coding"> 编程<input type="checkbox" name="hobbies[]" value="sports"> 运动<input type="submit" value="提交">
</form>

1.2 动态生成复选框

场景：从数据库或配置中加载选项。

PHP动态生成示例：

$allowedHobbies = ['reading', 'coding', 'sports', 'music'];
foreach ($allowedHobbies as $hobby) {echo '<input type="checkbox" name="hobbies[]" value="' . htmlspecialchars($hobby) . '"> ' . $hobby;
}

2. PHP接收复选框数据

2.1 接收数组数据

使用 $_POST 或 $_GET：
```
$selectedHobbies = $_POST['hobbies'] ?? [];
```
- 若用户未勾选任何复选框，$_POST['hobbies'] 将不存在，需用空合并运算符 (??) 避免错误。

2.2 验证与过滤数据

检查是否为数组：

if (!is_array($selectedHobbies)) {die("非法请求");
}

过滤非法值：

$allowedValues = ['reading', 'coding', 'sports', 'music'];
$validHobbies = array_intersect($selectedHobbies, $allowedValues);
if (count($validHobbies) === 0) {die("请至少选择一个有效兴趣");
}

3. 安全性处理

3.1 防止XSS攻击

转义输出：

foreach ($validHobbies as $hobby) {echo htmlspecialchars($hobby, ENT_QUOTES, 'UTF-8');
}

3.2 防止SQL注入

预处理语句示例（PDO）：

$stmt = $pdo->prepare("INSERT INTO user_hobbies (user_id, hobby) VALUES (:user_id, :hobby)");
foreach ($validHobbies as $hobby) {$stmt->execute(['user_id' => $userId,'hobby' => $hobby]);
}

4. 常见问题与解决方案

问题1：只接收到最后一个值

原因：复选框未使用数组命名（如 name="hobby"）。
解决：确保命名格式为 name="字段名[]"。

问题2：未选中时报错 `Undefined index`

原因：直接访问 $_POST['hobbies'] 而未检查是否存在。

解决：使用空合并运算符或 isset()：

$selectedHobbies = isset($_POST['hobbies']) ? $_POST['hobbies'] : [];

问题3：动态生成的选项被篡改

场景：用户提交了不在允许列表中的值。
解决：通过 array_intersect() 过滤非法值（见2.2节）。

5. 完整示例

HTML表单（`form.html`）

<form action="process.php" method="post"><fieldset><legend>选择你的兴趣：</legend><?php$hobbies = ['reading' => '阅读', 'coding' => '编程', 'sports' => '运动'];foreach ($hobbies as $value => $label) {echo '<label><input type="checkbox" name="hobbies[]" value="' . htmlspecialchars($value) . '"> ' . htmlspecialchars($label) . '</label><br>';}?></fieldset><input type="submit" value="提交">
</form>

PHP处理脚本（`process.php`）

<?php
// 1. 接收数据并验证
$selectedHobbies = $_POST['hobbies'] ?? [];
if (!is_array($selectedHobbies)) {die("非法请求");
}// 2. 过滤合法值
$allowedHobbies = ['reading', 'coding', 'sports'];
$validHobbies = array_intersect($selectedHobbies, $allowedHobbies);
if (empty($validHobbies)) {die("请至少选择一个兴趣");
}// 3. 安全存储到数据库（示例）
try {$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass');$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);$stmt = $pdo->prepare("INSERT INTO user_hobbies (user_id, hobby) VALUES (?, ?)");foreach ($validHobbies as $hobby) {$stmt->execute([1, $hobby]); // 假设用户ID为1}echo "保存成功！选择的兴趣：" . implode(', ', $validHobbies);
} catch (PDOException $e) {die("数据库错误：" . $e->getMessage());
}

6. 高级应用

6.1 将数据存储为JSON

场景：单个字段存储多个选项（非关系型数据）。

示例：

$hobbiesJson = json_encode($validHobbies);
// 存入数据库
$stmt = $pdo->prepare("UPDATE users SET hobbies = ? WHERE id = ?");
$stmt->execute([$hobbiesJson, $userId]);

6.2 回显已选中的复选框

场景：编辑表单时显示用户之前的选择。

示例：

$userHobbies = ['reading', 'sports']; // 从数据库读取
foreach ($allowedHobbies as $value => $label) {$checked = in_array($value, $userHobbies) ? 'checked' : '';echo '<input type="checkbox" name="hobbies[]" value="' . $value . '" ' . $checked . '> ' . $label;
}

项目示例：留言管理系统

1. 项目结构

 public/├── index.php        # 表单页面 & 处理结果└── style.css        # 一点简单样式

2. 代码

2.1 `public/index.php`

<?php
/*** index.php — 简易留言板 Demo** 运行方式（任选其一）：*   1) PHP 内置服务器：php -S localhost:8000 -t .*   2) Docker：docker run -it --rm -p 8000:80 -v "$PWD":/var/www/html php:8.3-apache** 生产环境注意：*   - 请添加 CSRF token、防爆破、验证码等安全措施*   - 若要写数据库，请使用 PDO 并开启预处理防止 SQL 注入*   - 推荐使用 PRG 模式避免重复提交*//* ---------- 0) 初始化 ---------- */// 开启 Session（如果后续要加 CSRF，可在此使用）
// session_start();// 设置默认时区，防止 date() 提示 warning
date_default_timezone_set('Asia/Shanghai');// 统一输出编码（部分低版本 PHP CLI 默认 ISO-8859-1）
ini_set('default_charset', 'UTF-8');// 定义变量以便模板区直接使用
$result = null;
$error  = null;/* ---------- 1) 业务逻辑：仅在 POST 时处理 ---------- */
if ($_SERVER['REQUEST_METHOD'] === 'POST') {// 使用 null 合并运算符防 Notice$name    = trim($_POST['name']    ?? '');$message = trim($_POST['message'] ?? '');// ---- (1) 基础验证 ----if ($name === '' || $message === '') {$error = '姓名和留言内容均不能为空！';} elseif (mb_strlen($name, 'UTF-8') > 30) {$error = '姓名请控制在 30 个字符以内！';} else {// ---- (2) 业务存储 / 发送邮件 / 写日志 ----// ★此处仅做演示；若要入库请使用 PDO + prepared statement$result = ['name'    => htmlspecialchars($name,    ENT_QUOTES, 'UTF-8'),'message' => htmlspecialchars($message, ENT_QUOTES, 'UTF-8'),'time'    => date('Y-m-d H:i:s'),'ip'      => $_SERVER['REMOTE_ADDR'] ?? 'unknown',];// ---- (3) 若用 PRG，取消注释下面两行 ----// $_SESSION['flash'] = $result; // 存 flash 数据// header('Location: '.$_SERVER['PHP_SELF']); exit;}
}/* ---------- 2) 取回 flash 数据（如果采用了 PRG） ---------- */
// if (isset($_SESSION['flash'])) {
//     $result = $_SESSION['flash'];
//     unset($_SESSION['flash']);
// }
?>
<!DOCTYPE html>
<html lang="zh-CN">
<head><meta charset="UTF-8"><title>PHP 表单传值 Demo</title><link rel="stylesheet" href="style.css"><!-- 基础安全请求头，可按需调整 --><?phpheader('X-Frame-Options: SAMEORIGIN');header("Content-Security-Policy: default-src \'self\'");?>
</head>
<body><h1>留言板（示例）</h1><!-- ---------- 3) 结果区 ---------- --><?php if ($result): ?><section class="success"><h2>提交成功！</h2><p><strong><?= $result['name'] ?></strong>于 <?= $result['time'] ?> 留言：</p><!-- nl2br 把换行转换为 <br>；white-space:pre-wrap 在 CSS 里也能实现 --><blockquote><?= nl2br($result['message']) ?></blockquote><small>IP：<?= $result['ip'] ?></small></section><?php elseif ($error): ?><section class="error"><?= $error ?></section><?php endif; ?><!-- ---------- 4) 表单区 ---------- --><form action="" method="post" autocomplete="off"><label>姓名：<input type="text"name="name"maxlength="30"requiredvalue="<?= isset($name) ? htmlspecialchars($name, ENT_QUOTES, 'UTF-8') : '' ?>"></label><label>留言：<textarea name="message"rows="5"required><?= isset($message) ? htmlspecialchars($message, ENT_QUOTES, 'UTF-8') : '' ?></textarea></label><button type="submit">提交</button></form>
</body>
</html>

2.2 `public/style.css`

body{font-family:system-ui, sans-serif;max-width:680px;margin:40px auto;padding:0 1rem;line-height:1.6}
h1{margin-bottom:1rem}
form{display:flex;flex-direction:column;gap:1rem}
label{display:flex;flex-direction:column;font-weight:600}
input,textarea{font:inherit;padding:.5rem;border:1px solid #ccc;border-radius:6px}
button{padding:.6rem 1.2rem;border:none;border-radius:6px;cursor:pointer;background:#007aff;color:#fff;font-weight:600}
button:hover{opacity:.9}
.success, .error{padding:1rem;border-radius:6px;margin-bottom:1rem}
.success{background:#e8f9e9;border:1px solid #4caf50}
.error{background:#ffeef0;border:1px solid #f44336}
blockquote{margin:.5rem 0;padding-left:1rem;border-left:4px solid #ccc;font-style:italic;white-space:pre-wrap}