PHP 表单提交传递 URL 参数的完整方法

以下是在 page2.php 中的推荐实现（已整合原代码并修复重复定义、冗余逻辑等问题）：

<?php
// 安全获取并转义传入的 var 参数（来自 page1.php?var=xxx）
$passed_var = isset($_GET['var']) ? filter_var($_GET['var'], FILTER_SANITIZE_STRING) : '';
// 若需更严格校验（如必须为整数），可改用 FILTER_VALIDATE_INT 等

function test_input($data) {
    $data = trim($data);
    $data = stripslashes($data);
    $data = htmlspecialchars($data, ENT_QUOTES, 'UTF-8');
    return $data;
}

$nameErr = $emailErr = "";
$name = $email = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 验证 name
    if (empty($_POST["name"])) {
        $nameErr = "Name is required";
    } else {
        $name = test_input($_POST["name"]);
        if (!preg_match("/^[a-zA-Z-' ]*$/", $name)) {
            $nameErr = "Only letters and white space allowed";
        }
    }

    // 验证 email
    if (empty($_POST["email"])) {
        $emailErr = "Email is required";
    } else {
        $email = test_input($_POST["email"]);
        if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
            $emailErr = "Invalid email format";
        }
    }

    // ✅ 关键：此时 $passed_var 已通过 GET 获取并保留，可用于数据库操作
    if (empty($nameErr) && empty($emailErr) && !empty($passed_var)) {
        // 示例：插入数据库（请替换为实际 PDO/MySQLi 操作）
        // $stmt = $pdo->prepare("INSERT INTO users (name, email, source_id) VALUES (?, ?, ?)");
        // $stmt->execute([$name, $email, $passed_var]);
        // echo "<p>Submitted successfully with source ID: " . htmlspecialchars($passed_var) . "</p>";
    }
}
?>

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <title>PHP Form with Persistent Parameter</title>
    <style>.error { color: #FF0000; }</style>
</head>
<body>
    <h2>PHP Form Validation Example</h2>
    <p><span class="error">* required field</span></p>

    <!-- ✅ 关键修改：action 显式包含原始 var 参数 -->
    <form method="post" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'] . '?' . http_build_query(['var' => $passed_var])); ?>">
        Name: &lt;input type=&quot;text&quot; name=&quot;name&quot; value=&quot;&lt;?php echo htmlspecialchars($name); ?&gt;">
        <span class="error">* <?php echo $nameErr; ?></span>
        <br><br>
        E-mail: &lt;input type=&quot;text&quot; name=&quot;email&quot; value=&quot;&lt;?php echo htmlspecialchars($email); ?&gt;">
        <span class="error">* <?php echo $emailErr; ?></span>
        <br><br>
        &lt;input type=&quot;submit&quot; name=&quot;submit&quot; value=&quot;Submit&quot;&gt;
    </form>

    <?php if (!empty($name) && !empty($email) && !empty($passed_var)): ?>
        <h2>Your Input:</h2>
        <p>Name: <?php echo htmlspecialchars($name); ?></p>
        <p>Email: <?php echo htmlspecialchars($email); ?></p>
        <p>Source ID (from page1.php): <?php echo htmlspecialchars($passed_var); ?></p>
    <?php endif; ?>
</body>
</html>

⚠️ 注意事项与最佳实践

• 不要使用 $_SERVER["PHP_SELF"] 直接拼接未过滤的 $_SERVER["QUERY_STRING"]：这存在 XSS 风险（如 page2.php/?var=）。务必使用 http_build_query() + htmlspecialchars() 双重防护。
• 避免重复定义函数：原代码中 test_input() 被定义两次，PHP 会报致命错误；本方案仅保留一次。
• 参数校验不可省略：即使参数来自可信内部跳转，也应使用 filter_var() 进行类型/格式过滤，防止恶意输入污染业务逻辑。
• 扩展性建议：若需传递多个参数（如 ?var=123&source=marketing&ref=abc），http_build_query($_GET) 可自动处理全部，无需硬编码。
• 替代方案（Session）：若参数敏感或 URL 过长，可在 page1.php 中 $_SESSION['passed_var'] = $var;，page2.php 中读取并销毁，但需确保 session_start() 已调用。

通过以上方式，$passed_var 将在每次表单提交后稳定存在于 $_GET['var'] 中，既满足验证流程的健壮性，又为数据库写入提供可靠上下文，真正实现跨请求的参数持久化。

到这里，我们也就讲完了《PHP 表单提交传递 URL 参数的完整方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！