本文详解如何通过 url 参数在不同 php 页面间传递图像路径,并在目标页正确显示图片,同时规避路径拼接错误、sql 注入与文件路径遍历等常见安全风险。
在图像标注类 Web 应用中(如药用西林瓶缺陷标注系统),常需实现「缩略图列表 → 点击跳转 → 大图展示+Canvas标注」的流程。你当前遇到的核心问题并非“PHP 无法显示图片”,而是路径上下文丢失与参数未正确传递/校验——test.php 中直接使用未定义的 $batch_number 变量拼接路径,导致 immagini/$batch_number/xxx.jpg 解析失败。
✅ 正确做法:显式传递 + 安全校验 + 路径规范化
1. 缩略图页(scegli_immagine.php):带批次号传递
修改 <a> 链接,同时传递 batch_number 和 vial_image(避免在 test.php 中重新查询或依赖未定义变量):
// 替换原 echo 行为:
echo "<a href=\"test.php?batch={$batch_number}&vial=" . urlencode($row['vial_image']) . "\">" .
"<img src=\"immagini/{$batch_number}/" . htmlspecialchars($row['vial_image']) . "\"
style='width:100px;height:100px;padding:10px;'></a>";✅ 关键改进:
- urlencode() 确保文件名中空格、中文、特殊字符安全传输;
- htmlspecialchars() 防止 XSS(若文件名来自用户输入);
- 显式传 batch={$batch_number},使 test.php 可直接读取。
2. 图像详情页(test.php):严格校验路径,拒绝越界访问
<?php
require('db.php');
// ✅ 1. 获取并校验必要参数
$batch = $_GET['batch'] ?? '';
$vial = $_GET['vial'] ?? '';
// 基础校验:非空、仅含字母数字下划线短横(防目录遍历)
if (empty($batch) || empty($vial) ||
!preg_match('/^[a-zA-Z0-9_-]+$/', $batch) ||
!preg_match('/^[a-zA-Z0-9_.-]+$/', $vial)) {
die('<p style="color:red;">无效的批次号或图像文件名</p>');
}
// ✅ 2. 构建绝对路径并验证文件存在性
$imagePath = 'immagini/' . $batch . '/' . $vial;
if (!is_file($imagePath) || !getimagesize($imagePath)) {
die('<p style="color:red;">图像不存在或不是有效图片文件</p>');
}
// ✅ 3. 安全输出(推荐:用 <img> 标签,而非直接 echo HTML)
?>
<!DOCTYPE html>
<html>
<head><title>标注 - <?php echo htmlspecialchars($batch); ?></title></head>
<body>
<h2>批次:<?php echo htmlspecialchars($batch); ?> | 图像:<?php echo htmlspecialchars($vial); ?></h2>
<!-- ✅ 直接使用已校验的路径 -->
<img src="<?php echo htmlspecialchars($imagePath); ?>"
alt="Vial image"
style="max-width:80%; height:auto; border:1px solid #ccc;">
<!-- ✅ Canvas 标注区域(示例) -->
<canvas id="annotationCanvas" width="800" height="600"
style="border:1px solid #999; margin-top:20px;"></canvas>
<script>
const img = new Image();
img.onload = () => {
const canvas = document.getElementById('annotationCanvas');
const ctx = canvas.getContext('2d');
ctx.drawImage(img, 0, 0, canvas.width, canvas.height);
};
img.src = "<?php echo htmlspecialchars($imagePath); ?>";
</script>
<p><a href="scegli_immagine.php">← 返回缩略图列表</a></p>
</body>
</html>⚠️ 必须规避的风险点
| 风险类型 | 你的代码问题 | 修复方案 |
|---|---|---|
| 路径遍历 | ?vial=../../etc/passwd 可能被构造 | 使用 preg_match 限制文件名格式;绝不拼接用户输入到路径 |
| SQL 注入 | 原始代码中 $batch_number 直接拼入 SQL | 改用预处理语句(强烈推荐): $stmt = $con->prepare("SELECT vial_image FROM info_flaconi WHERE batch_number = ?"); $stmt->bind_param("s", $batch_number); |
| XSS 攻击 | 输出未过滤的 $row['vial_image'] | 所有输出到 HTML 的变量必须经 htmlspecialchars() 处理 |
| MIME 类型欺骗 | 仅靠扩展名判断图片 | 使用 getimagesize() 或 exif_imagetype() 验证真实类型 |
✅ 进阶建议(提升健壮性)
- 统一资源路径管理:定义常量 define('IMAGE_ROOT', __DIR__ . '/immagini');,后续用 realpath(IMAGE_ROOT . "/$batch/$vial") 并检查是否仍在 IMAGE_ROOT 下。
- 缩略图自动生成:用 imagecreatefromjpeg() + imagecopyresized() 动态生成缩略图,避免手动维护两套文件。
- Canvas 标注保存:前端用 canvas.toDataURL() 获取标注后图像,通过 AJAX 发送至 save_annotation.php 存储。
只要确保参数显式传递、路径严格校验、输出全面转义,跨页面显示图像完全可靠。核心不是“PHP 能否显示图片”,而是“你能否让服务器精准定位并安全交付那个文件”。
立即学习“PHP免费学习笔记(深入)”;
