答案:PHP通过$_POST和$_GET获取表单数据,需用trim、htmlspecialchars等函数过滤验证,防止XSS和SQL注入,推荐使用PDO预处理和CSRF令牌保障安全。
在PHP开发中,表单提交是最常见的用户数据交互方式。正确获取并安全处理这些数据,是保证应用稳定和安全的基础。
使用$_POST和$_GET获取表单数据
PHP通过超全局数组 $_POST 和 $_GET 获取表单提交的数据,具体使用哪个取决于表单的 method 属性。
例如,一个登录表单:
在 login.php 中获取数据:
立即学习“PHP免费学习笔记(深入)”;
$username = $_POST['username'] ?? '';$password = $_POST['password'] ?? '';
使用 null 合并运算符(??)可以避免未定义索引的警告,是一种推荐写法。
基本数据过滤与验证
直接使用用户输入存在风险,必须进行过滤和验证。
- 去除多余空格:使用 trim() 函数
- 过滤特殊字符:htmlspecialchars() 防止XSS攻击
- 验证邮箱格式:filter_var($email, FILTER_VALIDATE_EMAIL)
- 数字验证:is_numeric() 或 filter_var($num, FILTER_VALIDATE_INT)
示例:安全输出用户名
$safe_username = htmlspecialchars(trim($_POST['username']));防止常见安全漏洞
表单处理中最需警惕的是SQL注入和跨站脚本(XSS)。
- 使用预处理语句(PDO或MySQLi):避免拼接SQL
- 对输出内容进行转义:特别是显示用户输入时
- 限制文件上传类型:若涉及文件上传,需检查 MIME 类型和扩展名
- 使用CSRF令牌:防止跨站请求伪造
例如,使用PDO预处理插入用户数据:
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");$stmt->execute([$name, $email]);
基本上就这些。只要养成先过滤、再验证、最后安全存储的习惯,就能有效提升表单处理的安全性。不复杂但容易忽略细节。
