PHP分页核心是安全控制$_GET['page']、SQL LIMIT偏移量及防除零/越界/注入;需校验页码、固定每页数、独立COUNT查询、动态生成含所有非分页参数的URL链接,并在缓存时用完整查询条件哈希作key。
PHP 动态网站实现分页,核心不是写多少代码,而是控制好 $_GET['page']、SQL 的 LIMIT 偏移量,以及避免除零、越界和 SQL 注入这三个实际运行中最常崩的地方。
怎么算总页数和当前页码
不能直接用 ceil($total_rows / $per_page) 就完事——如果 $per_page 是 0 或空,会触发警告甚至致命错误;如果 $total_rows 来自未过滤的 COUNT 查询结果(比如含 GROUP BY 或 JOIN 错误),也可能为 null。
实操建议:
- 始终对
$_GET['page']做filter_input(INPUT_GET, 'page', FILTER_VALIDATE_INT)校验,非法值默认设为 1 -
$per_page必须是硬编码或白名单配置(如[10, 20, 50]),禁止从 URL 直接取用 - 查总数用独立的
COUNT(*)查询,不复用带LIMIT的主查询——否则总数不准 - 计算页码前加判断:
if ($per_page
SQL 中 LIMIT 的偏移量怎么安全算
常见错误是写成 LIMIT " . ($page - 1) * $per_page . ", $per_page,没转义、没校验,既可能被注入,又会在 $page = 1 时算出负偏移(MySQL 8.0+ 会报错)。
立即学习“PHP免费学习笔记(深入)”;
实操建议:
- 用 PDO 预处理,参数化传入偏移量和条数:
$stmt->execute([$offset, $per_page]) - 偏移量必须是整数且 ≥ 0:
$offset = max(0, ($page - 1) * $per_page) - 如果
$offset已超过总记录数,直接返回空数组,不要让 MySQL 执行无意义的跳过 - 避免在分页 SQL 中用
SELECT *,尤其含 TEXT/BLOB 字段时,会拖慢 COUNT 和 LIMIT 性能
前端分页链接怎么生成才不漏参数
只写 ?page=2 会丢掉搜索关键词、排序字段等当前状态,用户点下一页就回到首页数据。
实操建议:
- 把所有非分页参数(如
q、sort、category_id)用http_build_query(array_filter($_GET, function($k) { return $k !== 'page'; }, ARRAY_FILTER_USE_KEY))拼接 - 链接中
page参数要显式覆盖,例如:?q=php&sort=name&page=2 - 禁用 JavaScript 翻页时,别用
onclick="location.href=..."拼字符串,容易 XSS;改用服务端渲染完整链接 - 移动端注意:页码太多时别全显示,用「1 … 5 6 7 8 9 … 23」结构,逻辑由 PHP 控制,不要靠 JS 补全
最易被忽略的是缓存场景:用 Redis 缓存分页结果时,key 必须包含完整的查询条件哈希(不只是 page),否则不同搜索词翻到同一页会返回错的数据。
