应先用 isset($_get['id']) 判断键存在,再按需类型转换与过滤:数字用 (int) 或 filter_input(input_get,'id',filter_validate_int),字符串防xss用 htmlspecialchars($_get['q'] ?? '', ent_quotes, 'utf-8');禁用 $_request,明确使用 $_get;确保 url 重写保留 $args(nginx)或 [qsa](apache),并统一 utf-8 编码。
PHP怎么安全地读取 $_GET 里的值
直接用 $_GET['id'] 取值,PHP 不会报错,但只要 URL 里没传这个参数,就会触发 Notice: Undefined index。这不是警告,是运行时错误,线上环境开了错误报告就直接暴露了。
真正该做的是:先确认键存在、再确认值非空、再按需过滤类型。别信“用户传的肯定合法”这种想法。
- 永远用
isset($_GET['xxx'])或array_key_exists('xxx', $_GET)判断是否存在(前者更快,后者能区分null) - 需要数字 ID?用
(int) $_GET['id']强转,或filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) - 要字符串且防 XSS?用
htmlspecialchars($_GET['q'] ?? '', ENT_QUOTES, 'UTF-8'),别漏掉默认值?? '' - 别写
$_GET['id'] ?? 0就完事——如果id=abc,强转后是 0,可能查出意外数据
$_GET 和 $_REQUEST 能不能混着用
能,但不该。因为 $_REQUEST 默认包含 $_GET、$_POST、$_COOKIE,顺序由 request_order 配置决定(默认 GP),意味着同名参数时 $_GET 会被 $_POST 覆盖——你本想只处理 URL 参数,结果被表单 POST 冲掉了。
真实场景中,比如一个搜索页同时支持 URL 参数和 AJAX POST 提交,用 $_REQUEST 会导致逻辑混乱,调试时根本分不清值从哪来。
立即学习“PHP免费学习笔记(深入)”;
- 明确来源就用对应超全局:URL 参数只读
$_GET,表单只读$_POST - 检查
php.ini里的request_order = "GP",别依赖默认值 - 框架里基本都禁用
$_REQUEST,自己写也建议加个封装函数,比如get_query_param('page'),内部统一走$_GET+ 过滤
中文参数在 $_GET 里乱码怎么办
不是 PHP 的锅,是浏览器编码和服务器解码不一致。常见现象:$_GET['q'] 打印出来是 %E4%BD%A0%E5%A5%BD(这是 UTF-8 的 URL 编码),但直接 echo 出来变成 “浣犲ソ” 这种乱码——说明 PHP 按 Latin-1 解了。
根本原因是 PHP 默认不自动 decode URL 编码,$_GET 里存的就是原始编码字节,而你 echo 时用了 UTF-8 页面却没声明 charset,或者用了 urldecode() 但没指定编码。
- 确保 HTML 有
<meta charset="UTF-8"> - 不要手动
urldecode($_GET['q']),PHP 已经自动做了;乱码多半是输出时没设对 header 或 meta - 万不得已要处理,用
rawurldecode()(比urldecode()更严格),然后mb_convert_encoding(..., 'UTF-8', 'auto')做兜底 - Apache 下检查
AddDefaultCharset UTF-8是否启用;Nginx 要配charset utf-8;
为什么有时候 $_GET 是空的,但 URL 明明带参数
最常见原因:URL 重写(rewrite)把 query string 吃掉了。比如 Nginx 配置里写了 try_files $uri $uri/ /index.php; 却没加 $args,所有参数就丢了。
另一个隐蔽问题是请求方法不对:用 fetch('/search', {method: 'POST'}) 发请求,但后端还傻等 $_GET,自然为空。
- Nginx 正确转发参数写法:
try_files $uri $uri/ /index.php?$args;(注意$args前的?) - Apache 的
RewriteRule要加[QSA]标志,否则原有 query string 不保留 - 用
var_dump($_SERVER['QUERY_STRING']);对比$_GET,如果前者有内容后者空,基本就是 rewrite 没传参 - 前端发请求前,先看 Network 面板里 Request URL 是否真带参数,别只信 JS 代码里拼的字符串
GET 参数看着简单,但每个环节都可能断:浏览器编码、Web 服务器转发、PHP 解析、应用层过滤、输出渲染。最容易被忽略的是 rewrite 规则和 request_order 配置,它们不出错,但一出就是静默失效。
