PHP原生分页需校验$_GET['page']、先查总数、固定每页条数、避免大OFFSET;漏任一环易致空页、SQL注入或500错误。
PHP 原生分页逻辑怎么写才不翻车
直接上核心:分页不是拼 SQL + 算 offset 就完事,关键在 $_GET['page'] 校验、总数获取时机、边界处理。漏掉任一环,轻则第一页空白,重则 SQL 注入或 500 报错。
常见错误现象:Notice: Undefined index: page、跳转到不存在的页码时显示空列表、最后一页数据少却仍显示下一页链接。
-
$_GET['page']必须用filter_input(INPUT_GET, 'page', FILTER_SANITIZE_NUMBER_INT)或强转(int),不能直接用 - 总记录数必须先查(
SELECT COUNT(*) FROM ...),不能靠mysqli_num_rows()查 LIMIT 后的结果集 - 每页条数(
$per_page)建议硬编码或配置化,别从 URL 传入,否则可能被恶意放大导致内存溢出
MySQL LIMIT OFFSET 分页的坑在哪
OFFSET 越大性能越差,10 万条数据查第 1000 页(OFFSET 99900)会全表扫。这不是 PHP 的锅,但 PHP 层得有应对意识。
使用场景:数据量
立即学习“PHP免费学习笔记(深入)”;
- 正确写法:
$offset = ($page - 1) * $per_page;,注意$page至少为 1,$offset不能为负 - SQL 示例:
SELECT * FROM article ORDER BY id DESC LIMIT $per_page OFFSET $offset,$per_page和$offset必须预处理(PDO 预处理 orintval()) - 避免
LIMIT 10 OFFSET 9999999这种非法组合:提前用ceil($total / $per_page)算出最大合法页码,超了就 302 跳首页或返回 404
怎么生成带参数的分页 HTML 链接
URL 中已有其他参数(如 ?category=php&sort=date)时,直接拼 &page=2 会丢参数。手写字符串拼接极易出错。
实操建议:用 http_build_query() 动态合并。
- 先取当前全部 GET 参数:
$params = $_GET; - 覆盖 page:
$params['page'] = $i;($i 是目标页码) - 生成链接:
$url = '?' . http_build_query($params); - 注意:如果用了伪静态(如
/list/2),就得改用正则或路由规则重写,不能依赖$_GET
为什么推荐用 PDO 而不是 mysqli 写分页
不是因为 PDO 多高级,而是它强制你面对参数绑定——而分页里 $page 和 $per_page 是最常被忽略的注入点。
性能 / 兼容性影响:PDO 默认不缓存元数据,PDO::ATTR_EMULATE_PREPARES = false 下能真正走 MySQL 的 prepare,对分页这种固定结构查询更稳。
- 错误示范:
"LIMIT " . $per_page . " OFFSET " . $offset—— 字符串拼接,危险 - 正确示范:
$stmt = $pdo->prepare("SELECT * FROM post WHERE status=? ORDER BY id DESC LIMIT ? OFFSET ?"); $stmt->execute([$status, $per_page, $offset]); - 注意:
LIMIT和OFFSET不能用命名占位符(:limit),只能用?,且必须是整数类型
分页看着简单,但 $_GET 校验、SQL 注入防护、总数与分页结果一致性、链接参数继承——这四点只要漏一个,线上就容易出不可预期的空页或报错。别信“复制粘贴就能用”的示例代码。
