本文讲解在 php 多步表单场景下,如何避免因二次 post 导致原始数据(如 `user`)丢失的问题,提供 session 和隐藏字段两种安全、实用的解决方案,并附带防 sql 注入提醒与完整示例代码。
在 Web 开发中,常见「多步表单」流程:第一步在 index.html 中收集用户名(user),提交至 Survey.php;第二步在 Survey.php 中补充邮箱(email)并最终入库。但直接复用 $_POST['user'] 会导致第二次提交时该值为空——因为浏览器仅发送当前表单字段,原 user 并未包含在第二个 <form> 中。
✅ 解决方案一:使用隐藏字段(轻量、无状态)
在 Survey.php 的第二个表单中,将首次接收的 user 值通过 <input type="hidden"> 重新提交:
<?php
$user = $_POST['user'] ?? '';
echo 'this is ' . htmlspecialchars($user);
$email = $_POST['email'] ?? '';
?>
<form action="survey.php" method="post">
<div><input type="text" name="email" placeholder="Enter email"></div>
<input type="hidden" name="user" value="<?php echo htmlspecialchars($user); ?>">
<div><input type="submit" value="Submit" class="btn btn-primary btn-sm"></div>
</form>
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && !empty($user) && !empty($email)) {
// ⚠️ 注意:此处仅为演示,生产环境必须使用预处理语句!
$sql = "INSERT INTO `test_db` (`user`, `email`) VALUES ('" .
mysqli_real_escape_string($connection, $user) . "', '" .
mysqli_real_escape_string($connection, $email) . "');";
echo "<pre>SQL: $sql</pre>";
// 执行插入(需先建立数据库连接 $connection)
}
?>✅ 优点:无需服务端状态管理,适合简单两步流程。 ⚠️ 注意:务必对输出到 HTML 的 $user 使用 htmlspecialchars() 防 XSS;对 SQL 插入务必使用 mysqli_real_escape_string() 或更推荐的 PDO 预处理语句。
✅ 解决方案二:使用 Session(推荐用于复杂流程)
当步骤增多(如 3+ 步)、需跨页面/重定向保留数据时,Session 更健壮:
<?php
session_start();
// 第一次提交时存入 session
if (isset($_POST['user'])) {
$_SESSION['user'] = trim($_POST['user']);
}
if (isset($_POST['email'])) {
$_SESSION['email'] = trim($_POST['email']);
}
// 当 user 和 email 均存在时执行插入
if (isset($_SESSION['user']) && isset($_SESSION['email']) && !empty($_SESSION['user']) && !empty($_SESSION['email'])) {
$user = $_SESSION['user'];
$email = $_SESSION['email'];
// ✅ 推荐:使用 PDO 预处理防止 SQL 注入
try {
$pdo = new PDO("mysql:host=localhost;dbname=test_db", $user, $pass);
$stmt = $pdo->prepare("INSERT INTO `test_db` (`user`, `email`) VALUES (?, ?)");
$stmt->execute([$user, $email]);
echo "✅ Data saved successfully!";
// 可选:清空 session 避免重复提交
unset($_SESSION['user'], $_SESSION['email']);
} catch (PDOException $e) {
echo "❌ Database error: " . $e->getMessage();
}
}
?>
<!-- 表单仍需提交 email -->
<form method="post">
<div><input type="text" name="email" placeholder="Your email" required></div>
<div><input type="submit" value="Save & Continue" class="btn btn-primary btn-sm"></div>
</form>✅ 优点:解耦表单结构,支持跳转、刷新、多页协同;天然支持数据校验与生命周期控制。
⚠️ 注意:必须在所有使用 $_SESSION 的页面顶部调用 session_start();敏感数据勿存 Session;建议设置合理的 session.gc_maxlifetime。
? 关键总结
- 根本原因:HTTP POST 是无状态的,每次请求只携带当前表单字段。
- 不要依赖未提交的 $_POST 键:$_POST['user'] 在第二步中不存在,除非显式传入(隐藏字段)或持久化(Session)。
- 永远防御 SQL 注入:禁止字符串拼接 SQL,优先选用 PDO/MySQLi 预处理。
- 始终过滤输出:用 htmlspecialchars() 防止 XSS,尤其回显用户输入内容时。
- 用户体验优化:可结合 JavaScript 在隐藏字段中动态赋值,或使用 readonly + disabled 配合样式增强可读性。
选择哪种方案?若仅两步且无跳转,隐藏字段简洁高效;若涉及登录态、多页面、异步交互或需服务端逻辑编排,请坚定使用 Session(或现代替代方案如 JWT + 后端缓存)。
