如何在 PHP 中跨文件安全获取表单提交的值（以 radio 为例）

✅ 正确实现步骤

1. 修改 Folder1/addmember.php（作为表单页）

<!-- Folder1/addmember.php -->
<!DOCTYPE html>
<html>
<head><title>Add Member</title></head>
<body>
<form action="../Folder2/config.php" method="post">
  <div class="col">
    <label><?= $lang['newmember']['gender'] ?>:</label>
    <label class="pt-inline">
      <input type="radio" name="gender" value="1"> female
    </label>
    <label class="pt-inline">
      <input type="radio" name="gender" value="2"> male
    </label>
  </div>
  <button type="submit" class="btn btn-primary"><?= $lang['submit'] ?></button>
</form>
</body>
</html>

? 关键点：

• action="../Folder2/config.php" 指向处理脚本（注意相对路径需准确）；
• method="post" 确保数据以 POST 方式发送；
• 移除原 外部的 * 等非法字符。

2. 完善 Folder2/config.php（作为处理页）

<?php
// Folder2/config.php
// ⚠️ 始终先验证请求方法与数据存在性
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    die('Error: This script only accepts POST requests.');
}

$gender = $_POST['gender'] ?? null;

// 验证输入合法性（防止恶意提交）
if (!in_array($gender, ['1', '2'], true)) {
    die('Invalid gender value.');
}

// 处理逻辑
if ($gender === '1') {
    echo "Selected: Female";
    // 例如：保存到数据库、写入配置等
} else {
    echo "Selected: Male";
}
?>

⚠️ 重要注意事项

• 路径必须准确：action 中的路径是相对于当前 HTML 页面（即 addmember.php 所在 URL）的，不是相对于 PHP 文件系统路径。建议使用绝对路径或基于 $_SERVER['DOCUMENT_ROOT'] 构建更健壮的路由。
• 禁止直接 include 表单页：include '../Folder1/addmember.php' 在 config.php 中只会输出 HTML，不会自动提交表单，且此时 $_POST 为空。
• 务必校验输入：永远不要信任 $_POST 数据。使用 ?? 运算符提供默认值，并用 in_array() 或正则严格校验。
• 避免跨目录安全风险：若 config.php 含敏感操作（如数据库写入），应添加访问控制（如会话验证、CSRF Token），而非仅依赖路径隐藏。

✅ 总结

表单数据的跨文件传递本质是 HTTP 请求流转，而非 PHP 文件包含。核心逻辑链为：
addmember.php（渲染表单 + 指定 action） → 用户提交 → config.php（接收 $_POST + 验证 + 处理）。
遵循此模式，即可安全、清晰地实现职责分离与数据交互。