get参数暴露在url中,post不暴露;get适合无副作用操作如搜索分页,post适合提交敏感数据或文件上传;二者参数独立,不可混用;安全不取决于方法而在于服务端校验。
GET 请求参数暴露在 URL 里,POST 不会
这是最直接的差异:浏览器地址栏里能看到 $_GET 的全部内容,$_POST 则完全不可见。用户能手动修改 URL 参数、刷新重发、分享链接——这些对 $_GET 都是天然支持的;而 $_POST 提交后刷新会弹“重复提交”警告,也不适合做分享链接。
常见错误现象:$_POST 取不到值,但 $_GET 能取到 → 实际发的是 GET 请求(比如写错了 <form method="get"></form> 或用了 window.location.href 拼接)。
- 敏感数据(密码、Token、订单号)绝不能走
$_GET - 搜索、分页、筛选这类无副作用的操作,用
$_GET更合理,利于缓存和书签 -
$_GET有长度限制(通常 URL 总长 ≤ 2048 字符),超长参数会被截断或 414 错误
php 接收时,$_GET 和 $_POST 是两个独立数组
它们不共享数据,也不会自动合并。即使同名参数同时出现在 URL 和表单体中,$_GET['id'] 和 $_POST['id'] 仍是各自独立的值。
使用场景举例:后台管理页用 $_GET['page'] 控制分页,同时用 $_POST 提交编辑内容 —— 两者共存没问题,但必须显式区分调用。
立即学习“PHP免费学习笔记(深入)”;
- 不要假设
$_REQUEST是安全替代方案:它默认包含$_GET、$_POST、$_COOKIE,顺序由php.ini的request_order决定,容易被绕过校验 -
$_POST只接收application/x-www-form-urlencoded和multipart/form-data类型请求体,json 或纯文本 POST 默认进不来$_POST - 用
file_get_contents('php://input')才能读取原始 POST 数据(比如前端发的 JSON)
文件上传只能用 POST,且必须设 enctype="multipart/form-data"
这是硬性限制:$_FILES 数组只在 method="post" 且表单设置了正确 enctype 时才被填充。漏掉 enctype,$_FILES 就是空数组,$_POST 也收不到文件字段。
错误现象:表单提交后 var_dump($_FILES) 显示空,但 $_POST 有其他字段 → 八成是没写 enctype 或写成了 text/plain。
-
<form method="post" enctype="multipart/form-data"></form>缺一不可 - GET 完全无法触发文件上传逻辑,浏览器会直接忽略
<input type="file"> -
upload_max_filesize和post_max_size这两个 php.ini 配置必须大于文件体积,否则$_FILES['xxx']['Error']会是UPLOAD_ERR_INI_SIZE
安全边界不是靠方法名决定的,而是靠你怎么用
很多人以为 “用 POST 就比 GET 安全”,其实不然。攻击者伪造 POST 请求和拼 GET URL 一样简单。真正的防护点在服务端校验:csrf token、输入过滤、权限检查、输出转义,这些跟请求方法无关。
容易踩的坑:if ($_POST['action'] === 'delete') 就执行删库 → 攻击者用 curl 发个 POST 就能触发,毫无防护。
- GET 请求也要防 xss,因为参数直接进 HTML 输出时极易被注入
- POST 请求也要防 CSRF,尤其是涉及状态变更的操作(删、改、转账)
- 不要用
$_SERVER['REQUEST_METHOD'] === 'POST'当作权限开关,它只是说明了 http 方法,不代表可信来源
真正麻烦的从来不是 GET 和 POST 的区别,而是你有没有在每个入口点都做输入校验、上下文判断和权限兜底 —— 这些地方一漏,方法选得再“对”,照样出事。