PHP处理表单提交完整教程：GET、POST、安全过滤与错误提示

PHP 处理表单提交是后端入门里非常重要的基础。登录、注册、留言、搜索、资料编辑、订单提交，最终都需要后端接收用户输入并进行校验。前端可以提升体验，但真正的数据安全和业务判断必须在后端完成。

本文围绕 PHP 表单处理的完整流程展开：GET 和 POST 的区别、如何读取参数、如何做安全过滤、如何返回错误提示，以及实际项目中应该注意哪些安全问题。

GET 和 POST 区别

GET 通常用于获取数据，参数会出现在 URL 中，适合搜索、筛选、分页等场景。POST 通常用于提交数据，参数放在请求体中，适合登录、注册、保存表单、上传文件等场景。

<form method="get" action="/search.php">
  <input name="keyword">
  <button type="submit">搜索</button>
</form>

<form method="post" action="/submit.php">
  <input name="username">
  <button type="submit">提交</button>
</form>

不要把密码、手机号、身份证号等敏感数据放在 GET 参数里，因为 URL 可能出现在浏览器历史、日志和分享链接中。

读取 GET 参数

PHP 中可以通过 $_GET 读取 GET 参数。读取前要判断字段是否存在，并设置默认值。

$keyword = $_GET['keyword'] ?? '';

不要直接信任用户输入。即使只是搜索关键词，也要做长度限制和输出转义，避免异常内容影响页面。

读取 POST 参数

POST 表单提交后，可以通过 $_POST 读取字段。

$username = $_POST['username'] ?? '';
$password = $_POST['password'] ?? '';

实际项目中，读取之后要马上做清理和校验，比如去掉首尾空格、判断必填、检查长度和格式。

基础清理

常见清理包括 trim() 去除首尾空格，必要时限制长度。清理不是安全的全部，但可以减少很多无效输入。

$username = trim($_POST['username'] ?? '');
$email = trim($_POST['email'] ?? '');

不要为了“过滤干净”盲目删除用户输入里的所有特殊字符。更好的方式是根据字段类型做校验，并在输出或入库时使用正确的安全处理。

字段校验

字段校验要根据业务规则来做。比如用户名不能为空，邮箱必须符合格式，密码长度不能太短。

$errors = [];

if ($username === '') {
  $errors['username'] = '请输入用户名';
}

if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
  $errors['email'] = '邮箱格式不正确';
}

filter_var() 可以用于一些常见格式校验，比如邮箱、URL、IP 等。复杂业务规则仍然需要自己判断。

错误提示

如果表单校验失败，可以把错误信息返回给页面，在对应字段旁边显示。这样用户能快速知道哪里需要修改。

if (!empty($errors)) {
  // 返回错误信息，或重新渲染表单
}

错误提示要具体可理解。比如“邮箱格式不正确”比“参数错误”更容易让用户修正。

输出转义

用户输入如果要显示到 HTML 页面中，必须做输出转义，避免 XSS 风险。

echo htmlspecialchars($username, ENT_QUOTES, 'UTF-8');

不要把用户输入直接 echo 到页面里。即使是昵称、留言、搜索关键词，也可能包含恶意脚本。

数据库写入

如果表单数据要写入数据库，必须使用预处理语句，不要拼接 SQL 字符串。

$stmt = $pdo->prepare('INSERT INTO users (username, email) VALUES (?, ?)');
$stmt->execute([$username, $email]);

预处理语句可以有效降低 SQL 注入风险。输入过滤不能替代预处理，二者关注点不同。

密码处理

如果表单包含密码，不能明文保存。PHP 提供了 password_hash() 和 password_verify() 用于密码哈希和验证。

$hash = password_hash($password, PASSWORD_DEFAULT);

不要自己设计密码加密算法，也不要使用 MD5 保存密码。密码安全应该使用成熟的哈希方案。

防重复提交

用户可能重复点击提交按钮，也可能刷新页面导致重复提交。后端可以通过唯一约束、业务状态判断、幂等 token 等方式防止重复写入。

前端禁用按钮只能减少误操作，不能作为后端安全保障。真正关键的数据一致性必须由后端控制。

CSRF 防护

涉及登录态的表单要考虑 CSRF 风险。常见做法是在表单里加入 CSRF token，提交时由后端校验。

<input type="hidden" name="csrf_token" value="...">

如果 token 不存在或不匹配，就拒绝提交。后台管理、资料修改、订单操作等场景尤其需要注意。

返回 JSON

如果前端使用 Ajax 提交表单，PHP 可以返回 JSON，包含成功状态和错误信息。

header('Content-Type: application/json; charset=utf-8');
echo json_encode([
  'success' => false,
  'errors' => $errors
], JSON_UNESCAPED_UNICODE);

接口返回结构要稳定，前端才能统一处理成功、失败和字段错误。

常见错误

第一种错误是只做前端校验，后端直接信任提交内容。第二种错误是把用户输入直接输出到页面。第三种错误是拼接 SQL。第四种错误是密码明文保存。第五种错误是错误提示过于笼统，用户不知道怎么改。

实践建议

一个完整的 PHP 表单处理流程应该是：读取参数、基础清理、字段校验、失败返回错误、成功执行业务、输出时转义、入库时预处理、敏感操作加 CSRF 防护。

表单处理不是把数据接住就结束。只有把安全过滤、错误提示和业务一致性都做好，表单提交才算真正可靠。