如何在 GET 表单提交时排除 submit 参数

本文讲解如何在 html 表单使用 `method=”get”` 提交时，避免 `submit` 按钮的 `name` 值出现在 url 查询参数中，从而生成干净、语义正确的查询字符串（如 `?reference=abc&zipcode=12345`），同时保持表单可提交性与 php 后端逻辑的可靠判断。

在基于 GET 方法的表单中，所有具有 name 属性的 元素（包括提交按钮）都会被序列化为查询参数。这正是你看到 &submit=Submit 出现在 URL 中的根本原因：

✅ 正确解法：移除 submit 按钮的 name 属性

只需删除 name 属性，按钮仍可正常触发表单提交，但不会作为参数传递：

此时，用户提交后 URL 将变为：

https://example.com.test/customers/?reference=P337574&zipcode=50219

完全符合你的预期。

? 后端如何可靠判断“表单已提交”？

由于 submit 参数不再存在，不能再依赖 isset($_GET[‘submit’])。推荐以下两种健壮方式：

方案 1：添加隐藏标记字段（推荐）

在表单中显式插入一个不可见但具语义的标识字段：

   <input type="text" name="reference" placeholder="Customer Load Number"           value="" required />             

php 判断逻辑改为：

表单提交     $reference = filter_input(INPUT_GET, 'reference', FILTER_SANITIZE_STRING) ?: '';     $zipcode   = filter_input(INPUT_GET, 'zipcode', FILTER_VALIDATE_INT) ?: 0;      if (empty($reference) || $zipcode <= 0) {         echo '
Please enter valid Load Number and Zipcode.
';         exit;     }      // ✅ 构建 API 请求（注意：避免硬编码敏感头信息，建议配置化）     $url = "https://example.net/customer-portal/tracking?reference=" . urlencode($reference) . "&postalCode=" . urlencode($zipcode);      $ch = curl_init();     curl_setopt_array($ch, [         CURLOPT_URL            => $url,         CURLOPT_RETURNTRANSFER => true,         CURLOPT_SSL_VERIFYPEER => false,         CURLOPT_TIMEOUT        => 30,         CURLOPT_HTTPHEADER     => [             'AccountId: si',             'Authorization: Basic d2Vic-----',             'cache-control: no-cache'         ]     ]);      $response = curl_exec($ch);     $err      = curl_error($ch);     curl_close($ch);      $data = json_decode($response, true);     if (empty($data['Data'])) {         echo '
The provided Customer Load Number and Pickup Zipcode combination could not be validated.
';     } else {         // 渲染结果...     } } ?>

方案 2：检查关键业务参数是否存在（辅助验证）

可结合 isset($_GET[‘reference’]) && isset($_GET[‘zipcode’]) 判断，但不能单独使用——因为用户可能手动拼接 URL 访问（非真实提交）。因此建议与 submitted 隐藏字段配合使用，实现双重保障。

⚠️ 注意事项与最佳实践

• 不要使用 $_SERVER[‘REQUEST_METHOD’] === ‘GET’ 单独判断提交：GET 是默认方法，页面直连也会触发，无法区分“访问”和“提交”。
• 始终对输入进行过滤与校验：$_GET 数据完全由客户端控制，务必使用 filter_input() 或 htmlspecialchars() 等函数防御 xss 和注入风险。
• 避免在 CURLOPT_POSTFIELDS 中混用 GET 请求体：你原代码中设置了 CURLOPT_CUSTOMREQUEST => “GET” 却又传了 CURLOPT_POSTFIELDS —— 这是无效且危险的（GET 请求不应含请求体）。应直接通过 URL 传参，如上例所示。
• 敏感凭据切勿硬编码：Authorization 等头信息建议从环境变量或配置文件读取，禁止明文写在前端或 PHP 源码中。

通过移除 submit 按钮的 name 并引入语义化隐藏字段，你既能获得简洁的 URL，又能构建安全、可维护的表单处理流程。