本文详解如何安全处理 php 表单中通过 name="docid[]" 提交的多选复选框值,利用 explode() 按首空格精准拆分字符串,并避免“array to string conversion”错误,同时提供数据库插入的实用示例。
在处理带结构化值的复选框(如 )时,常见误区是直接对 explode() 的返回结果使用 echo ——但该函数始终返回数组,而 echo 无法输出数组,从而触发 “Array to string conversion” 警告。
正确做法是:使用 explode(' ', $val, 2) 的第三个参数限制分割次数为 2,确保仅在第一个空格处切分,得到形如 ['1234', 'harry potter'] 的两元素数组。这样既避免了多空格或多余单词干扰,又便于分别提取 ID 和标题:
";
echo "Title: " . htmlspecialchars($title) . "
";
// ✅ 数据库插入示例(使用 PDO 预处理,防止 SQL 注入)
// $pdo->prepare("INSERT INTO documents (doc_id, title) VALUES (?, ?)")->execute([$docId, $title]);
}
}
?>⚠️ 注意事项:
- 永远不要直接输出或拼接用户输入:使用 htmlspecialchars() 渲染前端,用预处理语句(PDO/MySQLi)写入数据库;
- 校验分割结果:用空合并操作符 ?? '' 防止 $parts[1] 未定义导致 Notice;
- 避免 print_r() / var_dump() 用于生产环境输出:仅调试时使用,上线前需移除;
- 若业务要求更严格的格式(如 ID 必须为纯数字),建议额外添加 is_numeric($docId) && ctype_digit($docId) 校验。
总结:explode($delimiter, $string, $limit) 的 $limit 参数是精准解析结构化表单值的关键;结合空合并、类型校验与预处理查询,即可健壮、安全地完成从表单提交到数据库落地的全流程。
立即学习“PHP免费学习笔记(深入)”;
