登录
首页 >  文章 >  php教程

URL传参如何保障用户数据安全

时间:2026-03-23 20:03:42 435浏览 收藏

本文深入讲解了在PHP Web开发中如何安全地通过URL GET参数传递用户ID、姓名等非敏感数据,实现从列表页到FPDF生成PDF报告页的无缝跳转与正确渲染,同时重点警示并纠正了将密码等敏感信息暴露在URL或前端代码中的高危做法,手把手教你规避常见安全陷阱,构建既实用又合规的数据传输方案。

如何通过 URL 参数在页面间安全传递特定用户数据

本文详解如何利用 GET 参数将 foreach 循环中动态生成的用户 ID、姓名等非敏感数据,从列表页安全传递至 PDF 报告页,并在 FPDF 中正确渲染;同时强调避免暴露密码等敏感信息的最佳实践。

本文详解如何利用 GET 参数将 foreach 循环中动态生成的用户 ID、姓名等非敏感数据,从列表页安全传递至 PDF 报告页,并在 FPDF 中正确渲染;同时强调避免暴露密码等敏感信息的最佳实践。

在 PHP Web 开发中,常需从数据列表页(如用户表格)跳转至详情或报告页,并携带当前行的唯一标识(如 id)。你当前的代码存在两个关键问题:一是 标签中错误嵌套了 闭合标签,且 onclick="documents('')" 调用的 JavaScript 函数 documents() 仅尝试调用 document.getElementById(),但该方法用于获取 DOM 元素而非发送数据;二是直接将密码等敏感字段拼入 URL 或前端展示,严重违反安全规范。

正确的做法是:使用 URL 查询参数(GET)传递必要且安全的数据。URL 参数以 ? 开始,键值对格式为 key=value,多个参数用 & 连接。例如:

<td>
  <a 
    href="anotherpage.php?id=<?= urlencode($smth['id']) ?>&name=<?= urlencode($smth['name']) ?>" 
    class="btn btn-primary" 
    target="_blank"
    role="button"
  >
    生成报告
  </a>
</td>

✅ 注意事项:

  • 使用 urlencode() 对参数值编码,防止特殊字符(如空格、&、/)破坏 URL 结构;
  • 切勿在 URL 中传递 password、token、密钥等敏感信息——这会明文暴露在浏览器地址栏、服务器日志及网络代理中;
  • 表格结构需合法:
    不可直接作为 子元素, 必须位于 、 或
    内部。修正后的 HTML 片段如下:
    <?php if (isset($_POST['service1'])): ?>
  <?php
  $sql = "SELECT id, name FROM users"; // ❗移除 password 字段,前端无需且不应接触
  $result = conection($sql);
  ?>
  <table class="table table-striped" style="width:100%">
    <thead>
      <tr>
        <th>ID</th>
        <th>姓名</th>
        <th>操作</th>
      </tr>
    </thead>
    <tbody>
      <?php foreach ($result as $smth): ?>
        <tr>
          <td><?= htmlspecialchars($smth['id']) ?></td>
          <td><?= htmlspecialchars($smth['name']) ?></td>
          <td>
            <a 
              href="anotherpage.php?id=<?= urlencode($smth['id']) ?>&name=<?= urlencode($smth['name']) ?>" 
              class="btn btn-sm btn-primary" 
              target="_blank"
            >
              生成 PDF 报告
            </a>
          </td>
        </tr>
      <?php endforeach; ?>
    </tbody>
  </table>
<?php endif; ?>

    在 anotherpage.php(即 PDF 生成页)中,通过 $_GET 获取参数并进行基础校验与转义:

    <?php
// 严格验证和过滤输入
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT);
$name = filter_input(INPUT_GET, 'name', FILTER_SANITIZE_STRING);

if (!$id || empty($name)) {
    die('参数错误:缺少有效的用户 ID 或姓名');
}

// 安全查询数据库(使用预处理语句防范 SQL 注入)
$sql = "SELECT id, name, email FROM users WHERE id = ?";
$stmt = $pdo->prepare($sql); // 假设已建立 PDO 连接
$stmt->execute([$id]);
$user = $stmt->fetch(PDO::FETCH_ASSOC);

if (!$user) {
    die('未找到对应用户');
}
?>

    接着集成 FPDF(注意:需确保 fpdf.php 路径正确,且类定义后立即实例化):

    <?php
require_once $_SERVER['DOCUMENT_ROOT'] . '/Libraries/fpdf.php';

class PDF extends FPDF {
    private $user; // 存储用户数据,避免全局变量

    function __construct($user) {
        parent::__construct('L', 'mm', 'A4');
        $this->user = $user;
    }

    function Header() {
        $this->SetFillColor(0, 90, 151);
        $this->SetTextColor(255);
        $this->SetDrawColor(0, 90, 151);
        $this->SetLineWidth(0.5);
        $this->SetFont('Arial', 'B', 16);

        // 居中标题
        $this->Cell(0, 10, '用户报告', 0, 1, 'C');
        $this->Ln(5);

        // 用户信息区块
        $this->SetFont('Arial', '', 12);
        $this->Cell(30, 8, 'ID:', 0, 0, 'L');
        $this->Cell(0, 8, $this->user['id'], 0, 1, 'L');
        $this->Cell(30, 8, '姓名:', 0, 0, 'L');
        $this->Cell(0, 8, htmlspecialchars($this->user['name']), 0, 1, 'L');
        $this->Cell(30, 8, '邮箱:', 0, 0, 'L');
        $this->Cell(0, 8, htmlspecialchars($this->user['email'] ?? 'N/A'), 0, 1, 'L');
        $this->Ln(10);
    }
}

// 实例化 PDF 并输出
$pdf = new PDF($user);
$pdf->AddPage();
$pdf->Output('I', 'report_' . $user['id'] . '.pdf'); // I = 浏览器内联显示
?>

    ? 关键总结

    • ✅ 使用 $_GET + URL 参数是跨页传递轻量、非敏感数据的标准方式;
    • ✅ 始终对输出到 HTML 的变量使用 htmlspecialchars(),对 URL 参数使用 urlencode();
    • ✅ 对输入参数执行 filter_input() 验证,对数据库查询使用预处理语句;
    • ❌ 绝对禁止在 URL、HTML 源码或日志中暴露密码、令牌、身份证号等敏感字段;
    • ? 如需传递敏感上下文(如权限状态),应改用服务端 Session + 唯一任务 Token,而非客户端可见参数。

    遵循以上模式,即可安全、可靠地实现“点击某行 → 生成专属 PDF”的业务流程。

    到这里,我们也就讲完了《URL传参如何保障用户数据安全》的内容了。个人认为,基础知识的学习和巩固,是为了更好的将其运用到项目中,欢迎关注golang学习网公众号,带你了解更多关于的知识点!

    资料下载
    相关阅读
    更多>
    最新阅读
    更多>
    课程推荐
    更多>
    • 前端进阶之JavaScript设计模式
      前端进阶之JavaScript设计模式
      设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
      立即学习 543次学习
    • GO语言核心编程课程
      GO语言核心编程课程
      本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
      立即学习 516次学习
    • 简单聊聊mysql8与网络通信
      简单聊聊mysql8与网络通信
      如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
      立即学习 500次学习
    • JavaScript正则表达式基础与实战
      JavaScript正则表达式基础与实战
      在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
      立即学习 487次学习
    • 从零制作响应式网站—Grid布局
      从零制作响应式网站—Grid布局
      本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
      立即学习 485次学习