PHP如何获取URL中的参数_PHP从URL查询字符串中获取参数的方法

使用$_GET数组可直接获取URL参数，如$_GET[‘param’]；需通过isset()检查参数存在，并用filter_var()验证类型、htmlspecialchars()转义输出以防xss，预处理语句防sql注入；支持数组参数解析（如tags[]=a）和自动解码特殊字符，复杂结构可用http_build_query()构建。

php要从URL里获取参数，最直接、最常用的方式就是利用它内置的

$_GET

这个超全局数组。当用户访问一个带有查询字符串（也就是URL中问号

?

后面跟着的键值对）的页面时，PHP会自动把这些键值对解析出来，然后填充到

$_GET

数组中，你只需要通过对应的键名就能轻松获取到参数的值。

要从URL查询字符串中获取参数，核心就是使用

$_GET

这个关联数组。 举个例子，如果你的网页URL是

http://example.com/index.php?product_id=123&category=electronics

，那么在

index.php

文件里，你可以这样获取

product_id

和

category

：

<?php // 始终建议在使用前检查参数是否存在，避免未定义索引的错误 if (isset($_GET['product_id'])) {     $productId = $_GET['product_id'];     echo &amp;quot;产品ID: &amp;quot; . $productId . &amp;quot;<br>&amp;quot;; } else {     echo &amp;quot;URL中没有'product_id'参数。<br>&amp;quot;; }  if (isset($_GET['category'])) {     $category = $_GET['category'];     echo &amp;quot;分类: &amp;quot; . $category . &amp;quot;<br>&amp;quot;; } else {     echo &amp;quot;URL中没有'category'参数。<br>&amp;quot;; }  // 打印整个 $_GET 数组，可以直观地看到所有解析出来的参数 echo &amp;quot;<pre>&amp;quot;; print_r($_GET); echo &amp;quot;</pre>&amp;quot;; ?>

$_GET

的工作原理很简单，它将URL查询字符串中的每个

键=值

对转换成数组的一个元素，其中键是参数名，值是参数对应的数据。用起来感觉就像操作普通的PHP关联数组一样，非常直观和方便。

如何确保从URL获取的参数是安全的？

从URL获取参数固然方便，但安全性绝对是不能忽视的重中之重。我个人觉得，很多新手在拿到

$_GET

的值后，常常会直接拿去使用，这其实埋下了很大的隐患。因为URL里的数据是用户可以随意修改的，如果不加处理就直接用，轻则页面显示异常，重则可能导致sql注入、XSS攻击等严重的安全问题。

所以，核心的思路就是：任何来自用户输入的数据，都不能信任。 我们需要对它们进行严格的验证 (Validation) 和 净化 (Sanitization)。

立即学习“PHP免费学习笔记（深入）”；

• 验证数据类型和格式： 比如，如果

  product_id

  参数期望是一个整数，你就得检查它是不是真的整数。PHP的

  filter_var()

  函数在这方面非常强大，可以用来验证邮箱、URL、整数等多种类型。

  $productId = isset($_GET['product_id']) ? $_GET['product_id'] : ''; if (filter_var($productId, FILTER_VALIDATE_INT)) {     echo &amp;quot;产品ID是有效的整数: &amp;quot; . $productId . &amp;quot;<br>&amp;quot;; } else {     echo &amp;quot;产品ID无效或不是整数。<br>&amp;quot;; }
• 净化数据以防XSS攻击： 当你把从URL获取的数据显示到网页上时，必须用

  htmlspecialchars()

  或

  htmlentities()

  函数进行转义，防止恶意脚本注入。这能把HTML特殊字符（如

  <

  ,

  >

  ,

  &

  ,

  "

  ）转换成它们的HTML实体，从而避免浏览器将其解析为代码。

  $userName = isset($_GET['user_name']) ? $_GET['user_name'] : ''; // 假设用户输入了 <script>alert('XSS')</script> echo &quot;欢迎用户: &quot; . htmlspecialchars($userName, ENT_QUOTES, 'UTF-8') . &quot;<br>&quot;;
• 防止sql注入： 如果你要把URL参数存入数据库，那么使用预处理语句 (Prepared Statements) 是唯一的正道。千万不要直接拼接SQL查询字符串。pdo或mysqli都支持预处理语句，它们能将sql语句和参数分开处理，有效阻止注入。

  // 假设使用PDO连接数据库 // $pdo = new PDO(...); $stmt = $pdo->prepare("SELECT * FROM products WHERE id = :id"); $stmt->bindParam(':id', $productId, PDO::PARAM_INT); // 明确绑定参数类型 $stmt->execute(); $product = $stmt->fetch();

  记住，安全不是一次性的工作，而是一个持续的流程。从获取参数的那一刻起，就应该把安全放在心上，养成良好的编程习惯。

URL中包含数组或特殊字符时，PHP如何处理？

有时候，我们的URL参数会稍微复杂一点，比如需要传递一个列表或者参数值本身包含一些特殊字符。PHP在这方面处理得还算智能。

AI Undetect

让AI无法察觉，让文字更人性化，为文字体验创造无限可能。

70

查看详情

处理数组参数： 如果你想在URL中传递一个数组，PHP允许你使用方括号

[]

来表示。 例如：

http://example.com/search.php?tags[]=web&tags[]=programming&tags[]=php

在这种情况下，

$_GET['tags']

会被解析成一个包含 ‘web’, ‘programming’, ‘php‘ 的数组。

<?php if (isset($_GET['tags']) &amp;&amp; is_array($_GET['tags'])) {     echo &quot;你搜索的标签包括：<br>&quot;;     foreach ($_GET['tags'] as $tag) {         echo &quot;- &quot; . htmlspecialchars($tag) . &quot;<br>&quot;;     } } else {     echo &quot;没有选择任何标签。<br>&quot;; } // 输出 $_GET 数组内容 echo &quot;<pre>&quot;; print_r($_GET); echo &quot;</pre>&quot;; ?>

这在多选框（checkbox）提交表单，或者需要传递一组同类型数据时非常常见。

处理特殊字符： URL中有些字符是有特殊含义的，比如

&

用于分隔参数，

=

用于连接键值，

?

标识查询字符串的开始。如果你的参数值本身包含了这些字符，或者空格等，就需要进行URL编码 (URL Encoding)。 例如，如果参数值是

My New Article & More!

，在URL中它会变成

My%20New%20Article%20%26%20More%21

。PHP在解析

$_GET

时会自动进行解码，所以你直接获取到的值就是原始的

My New Article & More!

。

如果你需要手动构建包含特殊字符的URL，可以使用

urlencode()

函数来编码参数值，以及

http_build_query()

函数来构建整个查询字符串，后者尤其方便，特别是在处理复杂参数结构时。

<?php $paramValue = &quot;文章标题 &amp; 关键词?&quot;; $encodedValue = urlencode($paramValue); echo &quot;手动编码后的值: &quot; . $encodedValue . &quot;<br>&quot;; // 输出: %E6%96%87%E7%AB%A0%E6%A0%87%E9%A2%98%20%26%20%E5%85%B3%E9%94%AE%E8%AF%8D%3F  // 使用 http_build_query 构建更复杂的查询字符串 $params = [     'search_term' => 'php教程 &amp; 学习',     'filters' => ['difficulty' => 'easy', 'language' => 'zh-CN'] ]; $queryString = http_build_query($params); echo &quot;通过 http_build_query 构建的查询字符串: &quot; . $queryString . &quot;<br>&quot;; // 输出: search_term=PHP%E6%95%99%E7%A8%8B+%26+%E5%AD%A6%E4%B9%A0&amp;filters%5Bdifficulty%5D=easy&amp;filters%5Blanguage%5D=zh-CN ?>

http_build_query()

甚至能很好地处理嵌套数组，省去了手动拼接

[]

的麻烦。这在生成跳转链接或构建API请求时非常有用，能确保URL格式正确且所有特殊字符都得到了妥善处理。

除了

$_GET

，还有哪些方法可以获取或解析URL信息？

虽然

$_GET

是获取URL

以上就是PHP如何获取URL中的参数_PHP从URL查询字符串中获取参数的方法的详细内容，更多请关注mysql php html go 编码 浏览器 sql注入 邮箱 php教程 sql语句 防止sql注入 键值对 php sql html xss 数据类型 关联数组 checkbox filter_var mysqli pdo 字符串 数据库 http