HTML 表单通过 GET/POST 提交数据给 PHP,PHP 用 $_GET/$_POST 接收;PHP 输出数据是服务端渲染 HTML;AJAX 实现异步通信;隐藏字段、Cookie、Session 用于非表单传值。
HTML 表单提交数据给 PHP:最常用也最容易出错的方式
HTML 本身不能直接执行 PHP,所以“传值”实际是通过 HTTP 请求完成的。用户在 HTML 表单中输入内容,点击提交后,浏览器发起 GET 或 POST 请求,PHP 脚本在服务端接收并处理 $_GET 或 $_POST 中的数据。
常见错误包括:method 属性没写、name 属性缺失、表单 action 指向错误路径、PHP 文件没放在 Web 服务器(如 Apache/Nginx)下运行。
-
form标签必须有method="post"(或"get")和action="handler.php" - 每个可提交的控件(如
input、textarea)必须有name属性,否则 PHP 收不到该字段 - PHP 端用
$_POST['username']获取时,HTML 中对应input的name必须是"username",大小写和拼写必须完全一致 -
GET会把数据暴露在 URL 中,不适合密码等敏感信息;POST更安全,且无长度限制(但受服务器配置影响)
<form method="post" action="login.php"> <input type="text" name="username" placeholder="用户名"> <input type="password" name="password" placeholder="密码"> <button type="submit">登录</button> </form>
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$user = $_POST['username'] ?? '';
$pass = $_POST['password'] ?? '';
echo "收到用户名:" . htmlspecialchars($user);
}
?>
PHP 输出数据到 HTML:不是“传值”,而是服务端渲染
PHP 在服务器上执行完,把结果(通常是 HTML 字符串)发给浏览器。所谓“PHP 给 HTML 传值”,本质是 PHP 动态生成 HTML 内容。关键点在于:PHP 代码必须嵌入 .php 文件中,且由 Web 服务器解析执行。
容易被忽略的是输出上下文——比如在 <script> 标签里插入 PHP 变量,不加引号或未转义会导致 JS 语法错误;在属性值里拼接,不加 htmlspecialchars() 可能引发 XSS。
立即学习“PHP免费学习笔记(深入)”;
- 直接输出变量用
<?php echo $name; ?>,注意闭合标签和分号 - 在 HTML 属性中使用 PHP 值,务必包裹双引号并转义:
<div id="<?php echo htmlspecialchars($id); ?>"> - 在
<script>中使用 PHP 数据,推荐json_encode():const data = <?php echo json_encode($arr); ?>; - 不要在纯
.html文件里写<?php ?>—— 它不会被执行,原样输出到页面
AJAX 实现 HTML 与 PHP 异步双向通信:绕过页面刷新
当需要不刷新页面就交换数据(比如实时搜索、表单校验),就得用 AJAX。HTML 页面中的 JavaScript 发起请求,PHP 返回 JSON 或纯文本,JS 再更新 DOM。这是真正意义上的“双向传输”,但底层仍是 HTTP 请求/响应模型。
典型坑点:CORS 配置缺失导致跨域失败;PHP 没设 Content-Type: application/json,JS 解析失败;JavaScript 拿到响应后没检查 response.ok 或 response.status 就直接用数据。
- PHP 端返回 JSON 时,开头加
header('Content-Type: application/json');,结尾用echo json_encode($data); -
前端 fetch 调用要处理 Promise 链:
catch网络错误,then里再检查业务逻辑错误码 - PHP 接收 AJAX 数据仍走
$_POST(表单编码)或file_get_contents('php://input')(JSON 原始体) - 避免在 AJAX 成功回调里直接拼接 HTML 字符串,优先用 DOM API 或模板引擎防 XSS
<script>
fetch('api.php', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ action: 'search', q: 'js' })
})
.then(r => r.json())
.then(data => console.log(data.result));
</script>
<?php
header('Content-Type: application/json');
$data = json_decode(file_get_contents('php://input'), true);
if ($data['action'] === 'search') {
echo json_encode(['result' => ['PHP', 'JavaScript']]);
}
?>
隐藏字段、Cookie 和 Session:非表单场景下的值传递补充方式
除了显式表单提交,还有几种隐式传值手段。它们适用场景不同,安全性与生命周期差异很大,选错会导致数据泄露或丢失。
例如:用 input type="hidden" 传 ID 是常见做法,但如果这个 ID 是数据库主键且用户可修改,可能引发越权操作;又比如把敏感 token 存进 Cookie 却没设 HttpOnly,JS 就能读取并泄露。
-
input type="hidden"仅适合非敏感、可公开的临时状态(如分页页码),绝不放权限标识或密钥 - PHP 设置 Cookie 要用
setcookie(),且最好加secure、httponly、samesite参数 - Session 最适合用户级状态(如登录态),需在 PHP 开头调用
session_start(),且确保服务器支持 session 存储(默认文件,也可配 Redis) - HTML 页面无法直接读取 PHP Session 变量,必须由 PHP 渲染时输出,或通过 AJAX 接口获取
