PHP通过$_POST和$_GET接收表单数据,需根据method属性选择;处理时应过滤输入、防XSS和SQL注入,文件上传需用$_FILES并验证类型大小,同时建议使用HTTPS和密码加密以确保安全。
PHP接收表单提交的数据主要通过 $_POST 和 $_GET 超全局变量实现,具体使用哪个取决于表单的 method 属性。处理表单时还需注意安全性、数据验证和编码规范等问题。
1. 如何接收表单提交的数据
HTML 表单通过设置 method 属性来决定数据提交方式:
- 使用 method="post" 时,数据通过 $_POST 接收,适合传输敏感或大量数据
- 使用 method="get" 时,数据通过 $_GET 接收,参数会显示在 URL 中,适合简单查询
示例:
在 process.php 中接收:
立即学习“PHP免费学习笔记(深入)”;
$username = $_POST['username'] ?? '';$password = $_POST['password'] ?? '';
使用 null 合并运算符(??)可避免未定义索引的警告。
2. 数据处理的安全注意事项
直接使用用户输入存在安全风险,必须进行处理:
- 过滤与转义输入:使用 filter_input() 或 filter_var() 验证数据格式,如邮箱、整数等
- 防止 XSS 攻击:输出到页面前用 htmlspecialchars() 转义特殊字符
- 防止 SQL 注入:优先使用预处理语句(PDO 或 MySQLi),避免拼接 SQL
- 检查数据是否为空:使用 empty() 或 trim() 判断用户是否填写必要字段
3. 文件上传表单的特殊处理
如果表单包含文件上传,需设置 enctype="multipart/form-data",并通过 $_FILES 获取文件信息:
在 PHP 中处理:
if (isset($_FILES['avatar']) && $_FILES['avatar']['error'] === UPLOAD_ERR_OK) {$tmp_name = $_FILES['avatar']['tmp_name'];
$name = basename($_FILES['avatar']['name']);
move_uploaded_file($tmp_name, "uploads/" . $name);
}
务必验证文件类型、大小,并将上传目录置于 Web 根目录之外以增强安全性。
4. 其他实用建议
- 始终校验来源:可通过 token 防止跨站请求伪造(CSRF)
- 设置适当的 PHP 配置,如 upload_max_filesize、post_max_size
- 使用 HTTPS 传输敏感数据,避免明文暴露
- 对密码等敏感信息使用 password_hash() 加密存储
基本上就这些。只要规范接收方式、重视过滤验证、防范常见攻击,PHP 处理表单就能既稳定又安全。
