HTML 表单通过 GET/POST 提交数据给 PHP,PHP 用 $_GET/$_POST 接收;PHP 输出数据是服务端渲染 HTML;AJAX 实现异步通信;隐藏字段、Cookie、Session 用于非表单传值。
HTML 表单提交数据给 PHP:最常用也最容易出错的方式
HTML 本身不能直接执行 PHP,所以“传值”实际是通过 HTTP 请求完成的。用户在 HTML 表单中输入内容,点击提交后,浏览器发起 GET 或 POST 请求,PHP 脚本在服务端接收并处理 $_GET 或 $_POST 中的数据。
常见错误包括:method 属性没写、name 属性缺失、表单 action 指向错误路径、PHP 文件没放在 Web 服务器(如 Apache/Nginx)下运行。
-
form标签必须有method="post"(或"get")和action="handler.php" - 每个可提交的控件(如
input、textarea)必须有name属性,否则 PHP 收不到该字段 - PHP 端用
$_POST['username']获取时,HTML 中对应input的name必须是"username",大小写和拼写必须完全一致 -
GET会把数据暴露在 URL 中,不适合密码等敏感信息;POST更安全,且无长度限制(但受服务器配置影响)
PHP 输出数据到 HTML:不是“传值”,而是服务端渲染
PHP 在服务器上执行完,把结果(通常是 HTML 字符串)发给浏览器。所谓“PHP 给 HTML 传值”,本质是 PHP 动态生成 HTML 内容。关键点在于:PHP 代码必须嵌入 .php 文件中,且由 Web 服务器解析执行。
容易被忽略的是输出上下文——比如在 标签里插入 PHP 变量,不加引号或未转义会导致 JS 语法错误;在属性值里拼接,不加 htmlspecialchars() 可能引发 XSS。
- 直接输出变量用
,注意闭合标签和分号 - 在 HTML 属性中使用 PHP 值,务必包裹双引号并转义:
">- 在
中使用 PHP 数据,推荐json_encode():const data = ;- 不要在纯
.html文件里写—— 它不会被执行,原样输出到页面AJAX 实现 HTML 与 PHP 异步双向通信:绕过页面刷新
当需要不刷新页面就交换数据(比如实时搜索、表单校验),就得用 AJAX。HTML 页面中的 JavaScript 发起请求,PHP 返回 JSON 或纯文本,JS 再更新 DOM。这是真正意义上的“双向传输”,但底层仍是 HTTP 请求/响应模型。
典型坑点:CORS 配置缺失导致跨域失败;PHP 没设
Content-Type: application/json,JS 解析失败;JavaScript 拿到响应后没检查response.ok或response.status就直接用数据。- PHP 端返回 JSON 时,开头加
header('Content-Type: application/json');,结尾用echo json_encode($data); -
前端 fetch 调用要处理 Promise 链:
catch网络错误,then里再检查业务逻辑错误码 - PHP 接收
AJAX 数据仍走
$_POST(表单编码)或file_get_contents('php://input')(JSON 原始体) - 避免在 AJAX 成功回调里直接拼接 HTML 字符串,优先用 DOM API 或模板引擎防 XSS
['PHP', 'JavaScript']]); } ?>
隐藏字段、Cookie 和 Session:非表单场景下的值传递补充方式
除了显式表单提交,还有几种隐式传值手段。它们适用场景不同,安全性与生命周期差异很大,选错会导致数据泄露或丢失。
例如:用
input type="hidden"传 ID 是常见做法,但如果这个 ID 是数据库主键且用户可修改,可能引发越权操作;又比如把敏感 token 存进 Cookie 却没设HttpOnly,JS 就能读取并泄露。-
input type="hidden"仅适合非敏感、可公开的临时状态(如分页页码),绝不放权限标识或密钥 - PHP 设置 Cookie 要用
setcookie(),且最好加secure、httponly、samesite参数 - Session 最适合用户级状态(如登录态),需在 PHP 开头调用
session_start(),且确保服务器支持 session 存储(默认文件,也可配 Redis) - HTML 页面无法直接读取 PHP Session 变量,必须由 PHP 渲染时输出,或通过 AJAX 接口获取
- 在
