PHP 表单和用户输入

PHP 表单和用户输入中文讲解

什么是 PHP 表单和用户输入？

PHP 表单处理是指通过 HTML 表单收集用户输入数据（如文本、选择框、文件等），并在服务器端使用 PHP 脚本处理这些数据。PHP 通过超全局变量（如 $_POST、$_GET 等）获取用户提交的数据，广泛用于用户注册、登录、搜索、文件上传等场景。表单处理是 PHP 开发中常见的任务，尤其在 Web 应用中。

核心概念

• HTML 表单：用于收集用户输入，提交到 PHP 脚本处理。
• 超全局变量：
  • $_GET：获取通过 URL 查询字符串（GET 方法）提交的数据。
  • $_POST：获取通过 POST 方法提交的表单数据。
  • $_REQUEST：包含 $_GET、$_POST 和 $_COOKIE 的数据（不推荐频繁使用）。
  • $_FILES：处理文件上传。
• 数据验证与过滤：确保用户输入安全、有效，防止注入攻击。
• 表单安全性：防范常见威胁，如跨站脚本攻击（XSS）和 SQL 注入。

基本语法与流程

1. 创建 HTML 表单
   HTML 表单通过 <form> 标签定义，指定提交方式（method）和目标脚本（action）：<form action="process.php" method="post"> <label for="name">姓名:</label> <input type="text" id="name" name="name"> <label for="email">邮箱:</label> <input type="email" id="email" name="email"> <input type="submit" value="提交"> </form>
   • action="process.php"：表单数据提交到 process.php。
   • method="post"：使用 POST 方法（更安全，数据不显示在 URL 中）。
   • name 属性：PHP 通过 name 获取输入值。
2. 处理表单数据
   在 process.php 中使用 $_POST 获取数据：<?php if ($_SERVER['REQUEST_METHOD'] === 'POST') { $name = $_POST['name']; $email = $_POST['email']; echo "姓名: $name, 邮箱: $email"; } ?>
   • $_SERVER['REQUEST_METHOD'] 检查表单提交方式。
   • $_POST['name'] 获取名为 name 的输入值。

常见表单元素处理

1. 文本输入
   处理文本框、密码框等：<input type="text" name="username"> <input type="password" name="password"> PHP 获取：$username = $_POST['username']; $password = $_POST['password'];
2. 单选框和复选框
   • 单选框：<input type="radio" name="gender" value="male"> 男 <input type="radio" name="gender" value="female"> 女 PHP 获取：$gender = $_POST['gender']; // 返回 "male" 或 "female"
   • 复选框：<input type="checkbox" name="hobbies[]" value="reading"> 阅读 <input type="checkbox" name="hobbies[]" value="gaming"> 游戏 PHP 获取（hobbies[] 表示数组）：$hobbies = $_POST['hobbies']; // 返回数组，如 ['reading', 'gaming']
3. 下拉菜单<select name="city"> <option value="beijing">北京</option> <option value="shanghai">上海</option> </select> PHP 获取：$city = $_POST['city']; // 返回 "beijing" 或 "shanghai"
4. 文件上传
   HTML 表单需添加 enctype="multipart/form-data"：<form action="upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="file"> <input type="submit" value="上传"> </form> PHP 处理：<?php if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['file'])) { $file = $_FILES['file']; $name = $file['name']; // 文件名 $tmp_name = $file['tmp_name']; // 临时文件路径 $error = $file['error']; // 错误代码 if ($error === UPLOAD_ERR_OK) { move_uploaded_file($tmp_name, "uploads/$name"); echo "文件上传成功: $name"; } else { echo "上传失败"; } } ?>
   • move_uploaded_file 将临时文件移到目标目录。

数据验证与安全性

1. 验证输入：
   • 检查必填字段：if (empty($_POST['name'])) { die("姓名不能为空"); }
   • 验证格式（如邮箱）：if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) { die("无效的邮箱格式"); }
2. 防止 XSS 攻击：
   使用 htmlspecialchars() 转义用户输入，防止恶意脚本：$name = htmlspecialchars($_POST['name'], ENT_QUOTES, 'UTF-8'); echo "姓名: $name";
3. 防止 SQL 注入：
   使用预处理语句（如 PDO）处理数据库操作：<?php $pdo = new PDO("mysql:host=localhost;dbname=test", "user", "pass"); $stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)"); $stmt->execute(['name' => $_POST['name'], 'email' => $_POST['email']]); ?>
4. 文件上传安全：
   • 限制文件类型和大小：$allowed = ['jpg', 'png']; $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); if (!in_array($ext, $allowed)) { die("只允许上传 JPG 或 PNG 文件"); } if ($_FILES['file']['size'] > 2 * 1024 * 1024) { die("文件大小不能超过 2MB"); }

GET vs POST

• GET：
  • 数据通过 URL 传递，适合简单查询（如搜索）。
  • 数据可见，长度有限（通常 2048 字符）。
  • 示例：example.com/search.php?q=keyword
  • PHP 获取：$query = $_GET['q'];
• POST：
  • 数据通过请求体传递，适合敏感或大数据（如表单提交）。
  • 更安全，数据量无严格限制。
  • PHP 获取：$name = $_POST['name'];

表单回显

在验证失败时，回显用户输入以便修改：

<?php
$name = $_POST['name'] ?? '';
$email = $_POST['email'] ?? '';
?>
<form method="post">
    <input type="text" name="name" value="<?php echo htmlspecialchars($name); ?>">
    <input type="email" name="email" value="<?php echo htmlspecialchars($email); ?>">
    <input type="submit" value="提交">
</form>

最佳实践

• 验证和过滤：始终验证用户输入，使用 filter_var() 或自定义规则。
• 安全第一：使用 htmlspecialchars() 防止 XSS，预处理语句防止 SQL 注入。
• 明确方法：敏感数据使用 POST，非敏感查询使用 GET。
• 用户体验：提供清晰的错误提示，回显用户输入。
• CSRF 保护：添加 CSRF 令牌防止跨站请求伪造：<?php session_start(); $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); ?> <form method="post"> <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>"> <input type="submit"> </form> <?php if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF 验证失败"); } ?>

参考资源

• PHP 官方手册 – 表单处理：超全局变量说明。
• 菜鸟教程 – PHP 表单处理：初学者友好教程。
• W3School – PHP 表单：基础示例与实践。

总结

PHP 表单和用户输入处理是 Web 开发的核心，通过 HTML 表单和超全局变量（如 $_POST、$_GET、$_FILES）实现数据收集和处理。结合验证、过滤和安全措施（如 XSS 和 SQL 注入防护），开发者可以构建安全、用户友好的应用。掌握表单处理是开发动态 Web 应用的基础，适用于从简单表单到复杂文件上传的各种场景。