$_GET和$_POST本质区别在于数据传输方式与安全边界:前者通过URL传递、可见且受长度限制,后者通过请求体传递、不显式暴露但受服务器配置约束;表单method必须与PHP读取方式严格匹配。
PHP 中 $_GET 和 $_POST 获取表单值的本质区别
根本不在“能不能取到值”,而在于数据怎么传、谁能看到、能传多少、是否该用它做敏感操作。$_GET 是 URL 参数,$_POST 是请求体数据 —— 这决定了它们的用途边界。
表单提交时必须匹配 method 属性才能正确接收
HTML 表单的 method 属性必须和 PHP 中读取方式一致,否则对应超全局数组里就是空的:
- 表单写
→ 只能用$_GET['xxx']读,$_POST为空 - 表单写
→ 只能用$_POST['xxx']读,$_GET不会自动填充表单字段(除非 URL 里手动带了参数) -
method不写默认是get,别依赖这个默认行为
$_GET 的典型问题:URL 长度限制与可见性风险
浏览器地址栏直接暴露参数,且不同浏览器对 URL 长度容忍度不同(通常 2048 字符左右上限)。一旦用户刷新页面或分享链接,所有 $_GET 数据都跟着走:
输入 “php filter_var” 后提交,地址栏变成:/?search=php+filter_var。这意味着:
立即学习“PHP免费学习笔记(深入)”;
- 密码、token、订单 ID 等绝不能走
$_GET - 中文或特殊字符需注意编码,
$_GET值默认是 URL 解码后的结果,但原始 URL 里是百分号编码 - 缓存系统可能把
?q=test和?q=TEST当作两个不同 URL 缓存,大小写敏感
$_POST 的边界:不是绝对安全,也不能无限制传大文件
$_POST 数据不显示在地址栏,但依然可被代理、抓包工具(如 Burp Suite)完整捕获。真正影响它能否用的关键是服务器配置:
-
post_max_size(php.ini)限制整个 POST 请求体大小,默认常为 8M;超过则$_POST为空,$_FILES也失效 -
max_input_vars限制最多接收多少个变量(含嵌套),超限后后面的字段直接被丢弃,且不报错 - 表单必须有
enctype="multipart/form-data"才能上传文件,否则$_FILES为空,哪怕存在
实际开发中,如果发现某个字段死活收不到,先查 var_dump($_POST),再看 error_log 里有没有 “Invalid POST data” 类提示 —— 很可能是配置卡住了。
