PHP 表单提交后刷新重复提交怎么办：PRG 模式和闪存提示这样做

PHP 后台表单最常见的体验问题之一，是“保存成功后刷新页面又提交了一次”。用户只是想确认页面状态，浏览器却提示“是否重新提交表单”，或者直接把同一条记录又写了一遍。这个问题不是单纯的前端按钮禁用能解决，服务端响应流程也要调整。

比较稳的做法是 PRG 模式：POST 只负责处理提交，成功后立刻跳转到 GET 页面；成功提示通过 Session 闪存消息带过去。这样用户刷新的是 GET 页面，不会再次提交表单。

用户任务：提交后要看到明确结果

先把用户任务说清楚。一个表单提交流程至少要满足三件事：

• 用户点保存后，知道系统是否已经收到请求。
• 保存成功后，页面能展示明确的成功提示。
• 用户刷新、返回或复制链接时，不会再次写入同一份数据。

很多旧式 PHP 页面会把处理和展示写在同一个文件里：

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    saveProfile($_POST);
    $message = '保存成功';
}

renderForm($message ?? '');

这样写很直观，但浏览器地址栏仍停留在 POST 结果上。用户刷新时，浏览器会尝试重新发送刚才的 POST 请求，重复写入风险就出现了。

交互拆解：为什么直接返回会重复提交

从请求链路看，问题发生在“提交成功后仍然停留在 POST 响应”。流程大致是：

1. 用户填写表单并提交。
2. 浏览器向 /profile/save.php 发送 POST。
3. 服务端保存数据，并直接输出成功页面。
4. 用户刷新页面，浏览器重放上一次 POST。
5. 服务端可能再次保存，产生重复记录或重复状态变更。

这也是为什么只做按钮禁用不够。按钮禁用只能减少连续点击，不能阻止刷新、后退、浏览器恢复页面或脚本重放请求。

组件实现：用 PRG 和闪存消息重做流程

PRG 是 Post/Redirect/Get 的缩写。核心动作是：POST 保存完成后不直接渲染页面，而是返回跳转；GET 页面负责展示结果。

第一步：准备闪存消息工具

闪存消息的特点是“只读一次”。保存成功后写入 Session，跳转后的 GET 页面读取并清除。

session_start();

function flash_set(string $key, string $value): void
{
    $_SESSION['_flash'][$key] = $value;
}

function flash_get(string $key): string
{
    $value = $_SESSION['_flash'][$key] ?? '';
    unset($_SESSION['_flash'][$key]);
    return $value;
}

第二步：POST 只处理保存和跳转

session_start();
require __DIR__ . '/flash.php';
require __DIR__ . '/profile-service.php';

if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    header('Location: /profile/form.php', true, 303);
    exit;
}

$name = trim($_POST['name'] ?? '');
if ($name === '') {
    flash_set('error', '姓名不能为空');
    header('Location: /profile/form.php', true, 303);
    exit;
}

profile_save(['name' => $name]);
flash_set('success', '资料已保存');

header('Location: /profile/form.php', true, 303);
exit;

这里使用 303 的目的，是明确告诉浏览器后续使用 GET 打开目标页面。这样刷新目标页时，浏览器刷新的是 GET，而不是重新发送 POST。

第三步：GET 页面读取提示并展示

session_start();
require __DIR__ . '/flash.php';

$success = flash_get('success');
$error = flash_get('error');
?>


    = htmlspecialchars($success, ENT_QUOTES, 'UTF-8') ?>
  

    = htmlspecialchars($error, ENT_QUOTES, 'UTF-8') ?>
  

闪存消息被读取后会清除，所以用户再次刷新页面时，不会一直看到旧提示。这比用 URL 参数传递完整提示更干净，也能避免把敏感错误信息暴露在地址栏。

可访问性：成功和错误提示要能被读到

表单体验不只是“看起来有提示”。使用键盘或屏幕阅读器的用户，也要知道保存结果。

• 成功提示使用 role="status"，表示状态更新。
• 错误提示使用 role="alert"，让辅助技术尽快读出。
• 校验失败后，应该保留用户已经填写的安全字段。
• 错误信息要贴近字段，不要只在页面顶部放一句“提交失败”。

如果校验失败后也使用 PRG，可以把错误列表和安全字段旧值一起放入 Session 闪存。注意不要把密码、验证码、一次性令牌这类字段放回页面。

性能检查：跳转不会明显拖慢表单

PRG 会多一次 GET 请求，但通常这不是性能问题。真正需要检查的是：

• POST 保存是否只做必要写入，不在请求内处理大任务。
• 跳转后的 GET 页面是否有缓存、分页或轻量查询。
• Session 写入是否过大，不要把整份表单或大对象塞进闪存。
• 成功页是否避免重复读取刚保存的大量关联数据。

一个简单检查方式是看浏览器网络面板：POST 应该很快返回 303，随后 GET 返回表单页或详情页。只要 GET 页面不做重型查询，用户体感通常比停留在 POST 结果页更稳定。

边界状态：校验失败、重复点击和返回按钮怎么处理

PRG 解决的是刷新重放，但完整表单体验还要处理几个边界状态。

校验失败

校验失败时可以跳回表单页，通过闪存展示错误。字段旧值只保留安全内容：

flash_set('error', '请检查表单字段');
$_SESSION['_old_input'] = [
    'name' => $name,
];
header('Location: /profile/form.php', true, 303);
exit;

重复点击

前端仍然可以在提交后禁用按钮，减少用户连续点击；后端则可以配合一次性表单令牌或业务唯一键，防止两个 POST 几乎同时到达。

返回按钮

用户从成功页点返回，可能回到表单填写页。这里不要让旧页面再次自动提交。表单页应该是普通 GET 页面，用户需要主动点击保存才会发送新的 POST。

总结一下：PHP 表单提交后的重复提交，本质是“POST 处理完成后还停留在 POST 响应”。用 PRG 把写入和展示拆开，再用闪存消息传递一次性提示，可以同时改善刷新安全、成功反馈和错误展示。前端按钮禁用仍然有价值，但它应该是体验优化，不是唯一防线。