GET与POST请求区别全解析

• 敏感数据（密码、token、订单号）绝不能走 $_GET
• 搜索、分页、筛选这类无副作用的操作，用 $_GET 更合理，利于缓存和书签
• $_GET 有长度限制（通常 URL 总长 ≤ 2048 字符），超长参数会被截断或 414 错误

PHP 接收时，$_GET 和 $_POST 是两个独立数组

它们不共享数据，也不会自动合并。即使同名参数同时出现在 URL 和表单体中，$_GET['id'] 和 $_POST['id'] 仍是各自独立的值。

使用场景举例：后台管理页用 $_GET['page'] 控制分页，同时用 $_POST 提交编辑内容 —— 两者共存没问题，但必须显式区分调用。

• 不要假设 $_REQUEST 是安全替代方案：它默认包含 $_GET、$_POST、$_COOKIE，顺序由 php.ini 的 request_order 决定，容易被绕过校验
• $_POST 只接收 application/x-www-form-urlencoded 和 multipart/form-data 类型请求体，JSON 或纯文本 POST 默认进不来 $_POST
• 用 file_get_contents('php://input') 才能读取原始 POST 数据（比如前端发的 JSON）

文件上传只能用 POST，且必须设 enctype="multipart/form-data"

这是硬性限制：$_FILES 数组只在 method="post" 且表单设置了正确 enctype 时才被填充。漏掉 enctype，$_FILES 就是空数组，$_POST 也收不到文件字段。

错误现象：表单提交后 var_dump($_FILES) 显示空，但 $_POST 有其他字段 → 八成是没写 enctype 或写成了 text/plain。

• 缺一不可
• GET 完全无法触发文件上传逻辑，浏览器会直接忽略
• upload_max_filesize 和 post_max_size 这两个 php.ini 配置必须大于文件体积，否则 $_FILES['xxx']['error'] 会是 UPLOAD_ERR_INI_SIZE

安全边界不是靠方法名决定的，而是靠你怎么用

很多人以为 “用 POST 就比 GET 安全”，其实不然。攻击者伪造 POST 请求和拼 GET URL 一样简单。真正的防护点在服务端校验：CSRF token、输入过滤、权限检查、输出转义，这些跟请求方法无关。

容易踩的坑：if ($_POST['action'] === 'delete') 就执行删库 → 攻击者用 curl 发个 POST 就能触发，毫无防护。

• GET 请求也要防 XSS，因为参数直接进 HTML 输出时极易被注入
• POST 请求也要防 CSRF，尤其是涉及状态变更的操作（删、改、转账）
• 不要用 $_SERVER['REQUEST_METHOD'] === 'POST' 当作权限开关，它只是说明了 HTTP 方法，不代表可信来源

真正麻烦的从来不是 GET 和 POST 的区别，而是你有没有在每个入口点都做输入校验、上下文判断和权限兜底 —— 这些地方一漏，方法选得再“对”，照样出事。

理论要掌握，实操不能落！以上关于《GET与POST请求区别全解析》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！