页码参数必须是正整数,需先用 filter_input() 校验是否为 ≥1 的整数,再结合总记录数与每页条数计算最大页码并做上限检查,避免空值、小数、负数及非法字符串。
页码参数是不是数字?先过 is_numeric() 这关
用户传来的 $page 很可能不是整数,比如 "1.5"、"abc" 或空字符串。直接用 intval() 强转会把 "1abc" 变成 1,看似合法,实则绕过校验。is_numeric() 能识别纯数字和科学计数法,但还不够——它接受 "-1" 和 "+2",而分页通常只允许正整数。
推荐组合判断:
- 用
is_string($page) && trim($page) === ''排除空值 - 用
!is_numeric($page)拦住非数字 - 再用
(int)$page != $page确保是整数(例如"1.0"会被判为不等) - 最后检查是否 > 0:
(int)$page 就算非法
$_GET['page'] 直接进 sql?必须过滤后才可使用
常见错误是把未经验证的 $_GET['page'] 直接拼进 LIMIT 子句,比如:"LIMIT " . $_GET['page'] * $per_page . ", $per_page"。这不仅有注入风险,还会因类型错误导致 mysql 报错 SQLSTATE[HY000]: General error: 1096 No tables used 或更隐蔽的偏移越界。
正确做法是:先完成上一步的合法性校验,再转成严格整型:
立即学习“PHP免费学习笔记(深入)”;
- 用
(int)$page强制转换,而非intval()(后者在NULL时返回0,而(int)null是0,行为一致但更直观) - 确保最终偏移量非负:
$offset = max(0, ($page - 1) * $per_page) - 如果数据库用的是 PostgreSQL,注意
LIMIT/OFFSET对OFFSET为负数会直接报错ERROR: OFFSET must not be negative
超出总页数怎么办?别硬跳,要显式拦截
验证页码不能只看“是不是正整数”,还得看“有没有那么多页”。比如总数据 23 条、每页 10 条,最多只有 3 页,但用户访问 ?page=999 时,后端若只校验了数字合法性,就会查出空结果集,前端显示空白或报错。
必须在查询前做二次判断:
- 先查总数:
$total = $pdo->query("select count(*) FROM ...")->fetchColumn() - 算最大页码:
$maxPage = (int)ceil($total / $per_page) - 若
$page > $maxPage,应直接返回 404 或重定向到第一页(视业务而定) - 注意:不要在分页 SQL 里用
SELECT SQL_CALC_FOUND_ROWS,它已被 MySQL 8.0+ 废弃,且性能差
用 filter_input() 代替裸读 $_GET 更安全
手写一堆 isset() + is_numeric() 容易漏条件,也难复用。php 原生的 filter_input() 提供了类型化输入过滤,能一步搞定基础校验。
示例:
$page = filter_input(INPUT_GET, 'page', FILTER_VALIDATE_INT, [ 'options' => ['min_range' => 1] ]);如果 $page === false,说明校验失败(非整数、小于 1、或参数不存在);如果 $page === null,说明参数根本没传。这个函数不自动补零、不静默截断,比手动处理更可靠。
但要注意:FILTER_VALIDATE_INT 不接受带符号的字符串如 "+1",也不接受小数字符串,符合分页场景需求;但它不会帮你查总页数,上限校验仍需单独做。
边界情况容易被忽略:当 $per_page 是 0 或负数时,ceil($total / $per_page) 会出错或返回 INF,所以分页大小本身也要在初始化阶段校验一次。