表单提交后立刻判断 $_POST 是否为空
用户点提交但没填任何字段,后端不能直接进验证逻辑——这会浪费计算,还可能触发未定义索引警告。必须先确认 $_POST 里真有数据。
常见错误是直接写 if ($_POST['username']),结果表单没提交时 PHP 报 Notice: Undefined index;或者用 empty($_POST),但空数组也返回 true,而实际中 $_POST 在 GET 请求下就是空数组,容易误判。
- 用
$_SERVER['REQUEST_METHOD'] === 'POST'判断是否为 POST 请求,比检查$_POST内容更可靠 - 再配合
!empty($_POST)双重保险(避免 curl 模拟空 POST) - 不要对
$_POST任意键做直接访问,一律先用isset($_POST['field'])或filter_input(INPUT_POST, 'field')
验证失败时保留用户已填内容,但不重复执行业务逻辑
表单出错就刷新页面、清空输入框,是典型体验断层。流程控制的关键在于:验证失败 → 渲染原表单 + 填回值 + 显示错误;验证通过 → 执行插入/跳转等后续动作。两者不能混在同一个执行路径里。
容易踩的坑是把数据库写入、邮件发送这类副作用操作,放在验证条件分支之外——比如写成「先验证,再统一写库」,结果验证失败了还照样写库。
立即学习“PHP免费学习笔记(深入)”;
- 把业务逻辑(如
insert_user())严格放在所有验证通过之后的else块里 - 用一个
$errors = []数组收集错误,每项验证失败就push一条提示,最后判断count($errors) === 0决定是否继续 - 输出表单字段值时,统一用
htmlspecialchars($user_input ?? ''),避免 XSS,也防止??左侧为null导致警告
filter_var() 和正则验证的分工要清楚
不是所有验证都适合用 filter_var(),也不是所有地方都要手写正则。用错会导致漏检或过度限制——比如用 FILTER_VALIDATE_EMAIL 拒绝带 + 号的合法邮箱(test+tag@gmail.com),或用 preg_match('/^[a-z]+$/i') 去校验用户名,却忘了中文和下划线也是常用字符。
核心原则:内置过滤器管「格式合法性」,正则管「业务规则」。
-
filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)检查是否为语法合法邮箱,但不保证存在 - 用户名长度、是否含敏感词、是否与已有账号冲突——这些必须走自定义逻辑,不能只靠
filter_var() - 手机号验证别硬套正则,优先用
filter_var($phone, FILTER_SANITIZE_NUMBER_INT)清理后再判断长度,兼容带括号、空格、短横线的输入
重定向前必须调用 exit 或 die
表单处理完成功跳转到 success.php,但页面底部还跟着一段 HTML 或 echo 输出,浏览器会显示白屏或报错「headers already sent」——这是因为 PHP 默认缓冲关着,header('Location: ...') 发送 HTTP 头之前,任何输出(包括空格、UTF-8 BOM、echo)都会触发输出缓冲开启,导致头无法再发。
最稳妥的做法不是依赖 output buffering,而是强制终止脚本。
- 每次
header('Location: ...')后立刻接exit;,不要写注释、空行或调试代码 - 避免在包含文件(如
require 'config.php';)开头或结尾留空白行,BOM 字符尤其难排查 - 如果用了框架或 MVC 结构,确保重定向逻辑在响应发送前完成,不要在视图层才决定跳转
流程控制的复杂点不在语法,而在每个分支的边界是否干净——验证、渲染、跳转、写库,四件事必须互斥且不可逆。稍一松动,就变成「用户点了两次提交」或「错误提示和成功消息同时出现」。
