本文详解如何通过 url 参数在不同 php 页面间传递图像路径,并在目标页正确显示图片,同时规避路径拼接错误、sql 注入与文件路径遍历等常见安全风险。
在图像标注类 Web 应用中(如药用西林瓶缺陷标注系统),常需实现「缩略图列表 → 点击跳转 → 大图展示+Canvas标注」的流程。你当前遇到的核心问题并非“PHP 无法显示图片”,而是路径上下文丢失与参数未正确传递/校验——test.php 中直接使用未定义的 $batch_number 变量拼接路径,导致 immagini/$batch_number/xxx.jpg 解析失败。
✅ 正确做法:显式传递 + 安全校验 + 路径规范化
1. 缩略图页(scegli_immagine.php):带批次号传递
修改 链接,同时传递 batch_number 和 vial_image(避免在 test.php 中重新查询或依赖未定义变量):
// 替换原 echo 行为: echo "" . "@@##@@";
✅ 关键改进:
- urlencode() 确保文件名中空格、中文、特殊字符安全传输;
- htmlspecialchars() 防止 XSS(若文件名来自用户输入);
- 显式传 batch={$batch_number},使 test.php 可直接读取。
2. 图像详情页(test.php):严格校验路径,拒绝越界访问
无效的批次号或图像文件名');
}
// ✅ 2. 构建绝对路径并验证文件存在性
$imagePath = 'immagini/' . $batch . '/' . $vial;
if (!is_file($imagePath) || !getimagesize($imagePath)) {
die('图像不存在或不是有效图片文件
');
}
// ✅ 3. 安全输出(推荐:用 @@##@@ 标签,而非直接 echo HTML)
?>
标注 - <?php echo htmlspecialchars($batch); ?>
批次: | 图像:
@@##@@"
alt="Vial image"
style="max-width:80%; height:auto; border:1px solid #ccc;">
立即学习“PHP免费学习笔记(深入)”;
⚠️ 必须规避的风险点
| 风险类型 | 你的代码问题 | 修复方案 |
|---|---|---|
| 路径遍历 | ?vial=../../etc/passwd 可能被构造 | 使用 preg_match 限制文件名格式;绝不拼接用户输入到路径 |
| SQL 注入 | 原始代码中 $batch_number 直接拼入 SQL | 改用预处理语句(强烈推荐): $stmt = $con->prepare("SELECT vial_image FROM info_flaconi WHERE batch_number = ?"); $stmt->bind_param("s", $batch_number); |
| XSS 攻击 | 输出未过滤的 $row['vial_image'] | 所有输出到 HTML 的变量必须经 htmlspecialchars() 处理 |
| MIME 类型欺骗 | 仅靠扩展名判断图片 | 使用 getimagesize() 或 exif_imagetype() 验证真实类型 |
✅ 进阶建议(提升健壮性)
- 统一资源路径管理:定义常量 define('IMAGE_ROOT', __DIR__ . '/immagini');,后续用 realpath(IMAGE_ROOT . "/$batch/$vial") 并检查是否仍在 IMAGE_ROOT 下。
- 缩略图自动生成:用 imagecreatefromjpeg() + imagecopyresized() 动态生成缩略图,避免手动维护两套文件。
- Canvas 标注保存:前端用 canvas.toDataURL() 获取标注后图像,通过 AJAX 发送至 save_annotation.php 存储。
只要确保参数显式传递、路径严格校验、输出全面转义,跨页面显示图像完全可靠。核心不是“PHP 能否显示图片”,而是“你能否让服务器精准定位并安全交付那个文件”。
