使用$_GET数组可直接获取URL参数,如$_GET['param'];需通过isset()检查参数存在,并用filter_var()验证类型、htmlspecialchars()转义输出以防XSS,预处理语句防SQL注入;支持数组参数解析(如tags[]=a)和自动解码特殊字符,复杂结构可用http_build_query()构建。
PHP要从URL里获取参数,最直接、最常用的方式就是利用它内置的
$_GET这个超全局数组。当用户访问一个带有查询字符串(也就是URL中问号
?后面跟着的键值对)的页面时,PHP会自动把这些键值对解析出来,然后填充到
$_GET数组中,你只需要通过对应的键名就能轻松获取到参数的值。
要从URL查询字符串中获取参数,核心就是使用
$_GET这个关联数组。 举个例子,如果你的网页URL是
http://example.com/index.php?product_id=123&category=electronics,那么在
index.php文件里,你可以这样获取
product_id和
category:
";
} else {
echo "URL中没有'product_id'参数。
";
}
if (isset($_GET['category'])) {
$category = $_GET['category'];
echo "分类: " . $category . "
";
} else {
echo "URL中没有'category'参数。
";
}
// 打印整个 $_GET 数组,可以直观地看到所有解析出来的参数
echo "";
print_r($_GET);
echo "
";
?>$_GET
的工作原理很简单,它将URL查询字符串中的每个 键=值
对转换成数组的一个元素,其中键是参数名,值是参数对应的数据。用起来感觉就像操作普通的PHP关联数组一样,非常直观和方便。
如何确保从URL获取的参数是安全的?
从URL获取参数固然方便,但安全性绝对是不能忽视的重中之重。我个人觉得,很多新手在拿到
$_GET
的值后,常常会直接拿去使用,这其实埋下了很大的隐患。因为URL里的数据是用户可以随意修改的,如果不加处理就直接用,轻则页面显示异常,重则可能导致SQL注入、XSS攻击等严重的安全问题。
所以,核心的思路就是:任何来自用户输入的数据,都不能信任。 我们需要对它们进行严格的验证 (Validation) 和 净化 (Sanitization)。
立即学习“PHP免费学习笔记(深入)”;
-
验证数据类型和格式: 比如,如果
product_id
参数期望是一个整数,你就得检查它是不是真的整数。PHP的filter_var()
函数在这方面非常强大,可以用来验证邮箱、URL、整数等多种类型。$productId = isset($_GET['product_id']) ? $_GET['product_id'] : ''; if (filter_var($productId, FILTER_VALIDATE_INT)) { echo "产品ID是有效的整数: " . $productId . "
"; } else { echo "产品ID无效或不是整数。
"; } -
净化数据以防XSS攻击: 当你把从URL获取的数据显示到网页上时,必须用
htmlspecialchars()
或htmlentities()
函数进行转义,防止恶意脚本注入。这能把HTML特殊字符(如<
,>
,&
,"
)转换成它们的HTML实体,从而避免浏览器将其解析为代码。$userName = isset($_GET['user_name']) ? $_GET['user_name'] : ''; // 假设用户输入了 echo "欢迎用户: " . htmlspecialchars($userName, ENT_QUOTES, 'UTF-8') . "
"; -
防止SQL注入: 如果你要把URL参数存入数据库,那么使用预处理语句 (Prepared Statements) 是唯一的正道。千万不要直接拼接SQL查询字符串。PDO或MySQLi都支持预处理语句,它们能将SQL语句和参数分开处理,有效阻止注入。
// 假设使用PDO连接数据库 // $pdo = new PDO(...); $stmt = $pdo->prepare("SELECT * FROM products WHERE id = :id"); $stmt->bindParam(':id', $productId, PDO::PARAM_INT); // 明确绑定参数类型 $stmt->execute(); $product = $stmt->fetch();记住,安全不是一次性的工作,而是一个持续的流程。从获取参数的那一刻起,就应该把安全放在心上,养成良好的编程习惯。
URL中包含数组或特殊字符时,PHP如何处理?
有时候,我们的URL参数会稍微复杂一点,比如需要传递一个列表或者参数值本身包含一些特殊字符。PHP在这方面处理得还算智能。
处理数组参数: 如果你想在URL中传递一个数组,PHP允许你使用方括号
[]来表示。 例如:
http://example.com/search.php?tags[]=web&tags[]=programming&tags[]=php在这种情况下,
$_GET['tags']会被解析成一个包含 'web', 'programming', 'php' 的数组。
";
foreach ($_GET['tags'] as $tag) {
echo "- " . htmlspecialchars($tag) . "
";
}
} else {
echo "没有选择任何标签。
";
}
// 输出 $_GET 数组内容
echo "";
print_r($_GET);
echo "
";
?>这在多选框(checkbox)提交表单,或者需要传递一组同类型数据时非常常见。
处理特殊字符:
URL中有些字符是有特殊含义的,比如
&
用于分隔参数,=
用于连接键值,?
标识查询字符串的开始。如果你的参数值本身包含了这些字符,或者空格等,就需要进行URL编码 (URL Encoding)。
例如,如果参数值是 My New Article & More!
,在URL中它会变成 My%20New%20Article%20%26%20More%21
。PHP在解析 $_GET
时会自动进行解码,所以你直接获取到的值就是原始的 My New Article & More!
。
如果你需要手动构建包含特殊字符的URL,可以使用
urlencode()
函数来编码参数值,以及 http_build_query()
函数来构建整个查询字符串,后者尤其方便,特别是在处理复杂参数结构时。"; // 输出: %E6%96%87%E7%AB%A0%E6%A0%87%E9%A2%98%20%26%20%E5%85%B3%E9%94%AE%E8%AF%8D%3F
// 使用 http_build_query 构建更复杂的查询字符串
$params = [
'search_term' => 'PHP教程 & 学习',
'filters' => ['difficulty' => 'easy', 'language' => 'zh-CN']
];
$queryString = http_build_query($params);
echo "通过 http_build_query 构建的查询字符串: " . $queryString . "
";
// 输出: search_term=PHP%E6%95%99%E7%A8%8B+%26+%E5%AD%A6%E4%B9%A0&filters%5Bdifficulty%5D=easy&filters%5Blanguage%5D=zh-CN
?>http_build_query()
甚至能很好地处理嵌套数组,省去了手动拼接 []
的麻烦。这在生成跳转链接或构建API请求时非常有用,能确保URL格式正确且所有特殊字符都得到了妥善处理。
除了$_GET
,还有哪些方法可以获取或解析URL信息?
虽然
$_GET
是获取URL 
