答案:PHP接收表单需通过POST或GET获取数据,使用filter_var和htmlspecialchars进行验证过滤,防止XSS和SQL注入,并通过PDO安全存入数据库,最后重定向避免重复提交。
在PHP开发中,接收和处理HTML表单数据是最基础也是最常用的功能之一。无论是用户注册、登录,还是信息提交,都离不开表单的使用。下面介绍如何正确接收并安全处理来自HTML表单的数据。
1. HTML表单的基本结构
要让PHP接收数据,首先需要一个HTML表单。表单通过 method 属性指定请求方式,通常为 GET 或 POST。
推荐使用 POST 方法提交敏感或大量数据,更加安全。
2. 使用PHP接收表单数据
在 handle_form.php 中,可以通过 $_POST 或 $_GET 超全局数组获取表单数据。
立即学习“PHP免费学习笔记(深入)”;
$username = $_POST['username'] ?? ''; $email = $_POST['email'] ?? ''; $age = $_POST['age'] ?? '';
使用 ?? 运算符可以避免未定义索引的警告,是较安全的写法。
3. 数据验证与过滤
直接使用用户输入存在安全风险,必须进行验证和过滤。
- 过滤字符串:使用 filter_var() 或 htmlspecialchars()
-
验证邮箱:
filter_var($email, FILTER_VALIDATE_EMAIL) -
检查数值:
filter_var($age, FILTER_VALIDATE_INT) - 防止XSS:输出前用 htmlspecialchars() 转义
示例:
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
die("邮箱格式不正确");
}
$username = htmlspecialchars(trim($username));
$age = (int)$age;
4. 处理表单后的操作
常见操作包括保存到数据库、发送邮件或跳转提示页。
例如存入MySQL(使用PDO):
try {
$pdo = new PDO("mysql:host=localhost;dbname=test", "user", "pass");
$stmt = $pdo->prepare("INSERT INTO users (name, email, age) VALUES (?, ?, ?)");
$stmt->execute([$username, $email, $age]);
echo "数据保存成功!";
} catch (PDOException $e) {
echo "保存失败:" . $e->getMessage();
}
提交后建议使用 重定向 防止重复提交:
header("Location: success.php");
exit;
基本上就这些。关键是:接收数据 → 验证过滤 → 安全处理 → 正确响应。只要按步骤来,表单处理就不复杂但容易忽略细节。特别是不要直接使用用户输入拼接SQL或输出到页面。
