1、$_GET 和 $_POST 用于收集表单数据（form-data）

用HTTP POST方法发送提交数据。

      
       Name: 
       
       
E-mail: 
       
       
       
      

当用户填写此表单并点击提交按钮后，表单数据会发送到名为 "welcome.php" 的 PHP 文件供处理。如需显示出被提交的数据，您可以简单地输出（echo）所有变量。"welcome.php" 文件是这样的：

Welcome 
      
Your email address is: 
      

输出：

Welcome JohnYour email address is john.doe@example.com

用 HTTP GET 方法发送提交数据（结果相同）。

      
       Name: 
       
       
E-mail: 
       
       
       
      

"welcome_get.php" 是这样的：

Welcome 
      
Your email address is: 
      

注意：为了保障脚本安全，防止脚本出现漏洞。您需要对表单提交的数据进行危险字符过滤转换（验证）处理。

GET 和 POST提交数据的联系与区别

1.GET vs. POST  提交数据原理GET 和 POST 都创建数组（例如，array( key => value, key2 => value2, key3 => value3, ...)）。此数组包含键/值对，其中的键是表单控件的名称，而值是来自用户的输入数据。GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量，这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码，您能够从任何函数、类或文件访问它们。$_GET 是通过 URL 参数传递到当前脚本的变量数组。$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。2.何时使用 GET？通过 GET 方法从表单发送的信息对任何人都是可见的（所有变量名和值都显示在 URL 中）。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过，由于变量显示在 URL 中，把页面添加到书签中也更为方便。GET 可用于发送非敏感的数据。注释：绝不能使用 GET 来发送密码或其他敏感信息！3.何时使用 POST？通过 POST 方法从表单发送的信息对其他人是不可见的（所有名称/值会被嵌入 HTTP 请求的主体中），并且对所发送信息的数量也无限制。此外 POST 支持高阶功能，比如在向服务器上传文件时进行 multi-part 二进制输入。不过，由于变量未显示在 URL 中，也就无法将页面添加到书签。提示：开发者偏爱 POST 来发送表单数据。

 

2.表单危险字符过滤处理

上面的表单使用如下验证规则：

字段	验证规则
Name	必需。必须包含字母和空格。
E-mail	必需。必须包含有效的电子邮件地址（包含 @ 和 .）。
Website	可选。如果选填，则必须包含有效的 URL。
Comment	可选。多行输入字段（文本框）。
Gender	必需。必须选择一项。

 

表单的 HTML 代码是这样的，当提交此表单时，通过 method="post" 发送表单数据。

      
       "> 
      

什么是 $_SERVER["PHP_SELF"] 变量？

$_SERVER["PHP_SELF"] 是一种超全局变量，它返回当前执行脚本的文件名。

因此，$_SERVER["PHP_SELF"] 将表单数据发送到页面本身，而不是跳转到另一张页面。这样，用户就能够在表单页面获得错误提示信息。

通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用。

什么是 htmlspecialchars() 函数？

htmlspecialchars() 函数把特殊字符转换为 HTML 实体。这意味着 < 和 > 之类的 HTML 字符会被替换为 &lt; 和 &gt; 。这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码（跨站点脚本攻击）对代码进行利用。

完整的 PHP 验证表单数据代码

我们要做的第一件事是通过 PHP 的 htmlspecialchars() 函数传递所有变量。

在我们使用 htmlspecialchars() 函数后，如果用户试图在文本字段中提交以下内容：

- 代码不会执行，因为会被保存为转义代码，就像这样：

<script>location.href('http://www.hacked.com')</script>

现在这条代码显示在页面上或 e-mail 中是安全的。

在用户提交该表单时，我们还要做两件事：

1. （通过 PHP trim() 函数）去除用户输入数据中不必要的字符（多余的空格、制表符、换行）
2. （通过 PHP stripslashes() 函数）删除用户输入数据中的反斜杠（\）

接下来我们创建一个检查函数（相比一遍遍地写代码，这样效率更好）。我们把函数命名为 test_input()。

现在，我们能够通过 test_input() 函数检查每个 $_POST 变量，脚本是这样的：

请注意在脚本开头，我们检查表单是否使用 $_SERVER["REQUEST_METHOD"] 进行提交。如果 REQUEST_METHOD 是 POST，那么表单已被提交 - 并且应该对其进行验证。如果未提交，则跳过验证并显示一个空白表单。

 

3. 可选、必选输入字段的验证和错误信息的显示

    在下面的代码中我们增加了一些新变量：$nameErr、$emailErr、$genderErr 以及 $websiteErr。这些错误变量会保存被请求字段的错误消息。我们还为每个 $_POST 变量添加了一个 if else 语句。这条语句检查 $_POST 变量是否为空（通过 PHP empty() 函数）。如果为空，则错误消息会存储于不同的错误变量中。如果不为空，则通过 test_input() 函数发送用户输入数据：

显示错误消息

在 HTML 表单中，我们在每个被请求字段后面增加了一点脚本。如果用户未填写必填字段就试图提交表单，会生成恰当的错误消息。

      
       ">Name: 
       
       * 
        
       
       
E-mail:
       
       * 
        
       
       
Website:
       
       
        
       
       
       Comment: 
Gender:FemaleMale* 
         
 
      

 

4.验证 E-mail 和 URL格式

使用正则表达式和preg_match() 函数检索字符串的模式，如果模式存在则返回 true，否则返回 false

 

5.用户提交表单后保留输入字段中的值

如需在用户点击提交按钮后在输入字段中显示值，我们在以下输入字段的 value 属性中增加了一小段 PHP 脚本：name、email 以及 website。在 comment 文本框字段中，我们把脚本放到了 <textarea> 与 </textarea> 之间。这些脚本输出 $name、$email、$website 和 $comment 变量的值。

然后，我们还需要显示选中了哪个单选按钮。对此，我们必须操作 checked 属性（而非单选按钮的 value 属性）：

Name: E-mail: Website: Comment: <?php echo $comment;?>Gender:
      value="female">Female
      value="male">Male

 

最后完整代码

  ​
             
PHP 验证实例
* 必需的字段
            
             ">    姓名：
                
             * 
                 
             
             
   电邮：
                
             * 
                 
             
             
   网址：
                
             
                 
             
             
   评论：
                
             
             
   性别：   
             女性   
             男性   
             * 
                 
             
             
   
              
            
​
            您的输入：";echo $name;echo "
";echo $email;echo "
";echo $website;echo "
";echo $comment;echo "
";echo $gender;?>​