PHP表单增删改查需结合HTTP方法与预处理语句确保安全:POST用于INSERT防泄露,GET用于DELETE需校验权限,UPDATE混合GET读取与POST提交,CRUD可集中于单文件但须路由清晰,统一用filter_input过滤输入。
当使用PHP进行增删改查操作时,表单提交是与数据库交互的关键入口。表单数据需通过HTTP请求(GET或POST)传递至PHP脚本,再经由过滤、验证、拼接SQL语句或使用预处理语句写入数据库。以下是多种安全且实用的处理方法:
一、使用$_POST接收并执行INSERT操作
该方法适用于新增记录,通过POST方式提交表单数据,可避免敏感信息暴露在URL中,并配合预处理语句防止SQL注入。
1、在HTML表单中设置method="post"并指定action指向处理脚本,例如action="insert.php"。
2、在insert.php中使用$_POST获取字段值,例如$name = $_POST['name']; $age = (int)$_POST['age'];。
3、建立PDO连接,准备INSERT语句:$stmt = $pdo->prepare("INSERT INTO users (name, age) VALUES (?, ?)");。
4、执行绑定与插入:$stmt->execute([$name, $age]);。
二、使用$_GET接收并执行DELETE操作
该方法适用于通过URL参数触发删除动作,常用于管理后台的“删除”链接,需严格校验权限与参数合法性,防止越权删除。
1、生成带ID参数的删除链接:删除。
2、在delete.php中获取并过滤ID:$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);。
3、若$id为有效整数,则准备DELETE语句:$stmt = $pdo->prepare("DELETE FROM users WHERE id = ?");。
4、执行删除:$stmt->execute([$id]);。
三、混合使用$_POST与$_GET实现UPDATE操作
更新操作通常先通过GET加载待编辑记录(显示在表单中),再用POST提交修改后的数据,确保数据读取与写入分离,提升安全性与用户体验。
1、在edit
.php中通过$_GET['id']查询原数据:$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?"); $stmt->execute([$_GET['id']]); $row = $stmt->fetch();。
2、将查询结果填充至表单的value属性中,表单method设为post,action指向update.php。
3、在update.php中接收POST数据:$id = (int)$_POST['id']; $name = trim($_POST['name']); $age = (int)$_POST['age'];。
4、执行更新:$stmt = $pdo->prepare("UPDATE users SET name = ?, age = ? WHERE id = ?"); $stmt->execute([$name, $age, $id]);。
四、使用单一PHP文件处理全部CRUD逻辑
该方法将增删改查逻辑集中于一个脚本,通过判断请求类型(如action参数)决定执行分支,适合轻量级应用或原型开发,但需注意路由清晰与权限隔离。
1、表单统一提交至crud.php,并添加隐藏字段:。
2、在crud.php开头解析请求动作:$action = $_POST['action'] ?? $_GET['action'] ?? null;。
3、使用switch语句分发逻辑:case 'insert': 处理新增;case 'delete': 校验$_GET['id']后删除;case 'update': 接收$_POST并更新对应记录。
4、每种操作均强制使用预处理语句,且对所有用户输入执行filter_var()或intval()类型转换,禁止直接拼接SQL。
五、采用PHP内置函数filter_input统一接收并过滤数据
该方法替代原始$_GET/$_POST直接访问,利用PHP过滤扩展自动校验与清理输入,降低XSS与注入风险,尤其适用于多字段表单。
1、定义过滤规则数组,例如:$filters = ['name' => FILTER_SANITIZE_STRING, 'email' => FILTER_SANITIZE_EMAIL, 'age' => FILTER_VALIDATE_INT];。
2、遍历规则调用filter_input:$data['name'] = filter_input(INPUT_POST, 'name', $filters['name']);。
3、检查关键字段是否为空或无效:if (!$data['name'] || !$data['age']) { die('缺少必填字段或格式错误'); }。
4、将过滤后的$data数组传入PDO预处理执行,例如$stmt->execute(array_values($data));。
