PHP中用$_GET获取栏目筛选参数最直接,但必须做存在性判断、类型校验、预处理防SQL注入,并确保分页URL保留参数、缓存key包含查询字符串、复杂场景用FilterBuilder类封装条件。
PHP中用$_GET获取栏目筛选参数最直接
多数CMS或自建列表页的栏目筛选,是通过URL参数传递的,比如 list.php?cat=5&status=active。这时直接读取$_GET['cat']和$_GET['status']即可拿到用户选择的栏目条件。
但要注意:未定义键会触发Notice,且参数可能被篡改。务必做存在性判断和类型校验:
- 用
isset($_GET['cat'])或filter_input(INPUT_GET, 'cat', FILTER_SANITIZE_NUMBER_INT)先兜底 - 若栏目ID应为整数,用
(int)$_GET['cat']强转后,再检查是否大于0 - 避免直接拼SQL,如
"WHERE cat_id = {$_GET['cat']}"——这是SQL注入高危写法
用PDO预处理防止SQL注入(栏目条件必须走绑定)
栏目筛选最终要落到数据库查询,哪怕只是单个cat_id,也该用预处理。否则一旦参数含恶意字符串,就可能拖垮整个栏目页。
示例(安全写法):
立即学习“PHP免费学习笔记(深入)”;
$stmt = $pdo->prepare("SELECT * FROM articles WHERE status = ? AND cat_id = ?");
$stmt->execute([$_GET['status'] ?? 'draft', (int)($_GET['cat'] ?? 0)]);
注意点:
-
??运算符比isset()更简洁,适合默认值兜底 - 多个筛选项(如时间范围、关键词、多选栏目)也统一走
execute()数组传参,别拼字符串 - 如果栏目支持多选(如
?cat[]=5&cat[]=8),$_GET['cat']是数组,需用implode(',', array_map('intval', $_GET['cat']))生成IN列表,再配合str_repeat('?,', count($cats) - 1) . '?'动态占位
栏目条件常被忽略的缓存与分页耦合问题
加了筛选后,分页链接容易出错——比如第2页仍沿用无筛选的URL,或缓存把“全部栏目”的结果错返回给“仅显示推荐”的用户。
关键处理逻辑:
- 分页URL生成时,必须保留当前所有有效筛选参数:
http_build_query(array_filter($_GET, function($v) { return $v !== '' && $v !== null; })) - Redis或文件缓存key必须包含筛选条件哈希,例如:
"article_list_" . md5($_SERVER['QUERY_STRING']) -
前端提交筛选表单建议用
method="get",方便用户复制链接、浏览器后退、SEO收录——但要防重复提交,可加if ($_SERVER['REQUEST_METHOD'] === 'GET' && !empty($_GET)) { ... }隔离逻辑
复杂筛选场景下用类封装条件构建器更可控
当栏目筛选叠加状态、时间、搜索词、权限过滤时,硬写if/else嵌套极易失控。此时建议抽一个轻量FilterBuilder类管理条件:
class FilterBuilder {
private $where = [];
private $params = [];
public function addCat($catId) {
if ($catId > 0) {
$this->where[] = 'cat_id = ?';
$this->params[] = (int)$catId;
}
return $this;
}
public function build() {
return ['where' => implode(' AND ', $this->where), 'params' => $this->params];
}}
// 使用
$filters = (new FilterBuilder())->addCat($_GET['cat'] ?? 0)->addStatus($_GET['status'] ?? '');
$sql = "SELECT * FROM articles WHERE " . $filters->build()['where'];
$stmt = $pdo->prepare($sql);
$stmt->execute($filters->build()['params']);
这样做的好处是条件可复用、易单元测试、后续加ES或Elasticsearch适配层也只需替换build()输出格式。
真正难的不是取到$_GET['cat'],而是确保它在SQL里不裸奔、在URL里不丢失、在缓存里不串货、在多人协作时逻辑不散落在七八个if里。
