PHP中用$_GET获取栏目筛选参数最直接,但必须做存在性判断、类型校验、预处理防SQL注入,并确保分页URL保留参数、缓存key包含查询字符串、复杂场景用FilterBuilder类封装条件。
多数CMS或自建列表页的栏目筛选,是通过URL参数传递的,比如 list.php?cat=5&status=active。这时直接读取$_GET['cat']和$_GET['status']即可拿到用户选择的栏目条件。
但要注意:未定义键
400-7654-355 isset($_GET['cat'])或filter_input(INPUT_GET, 'cat', FILTER_SANITIZE_NUMBER_INT)先兜底(int)$_GET['cat']强转后,再检查是否大于0"WHERE cat_id = {$_GET['cat']}"——这是SQL注入高危写法栏目筛选最终要落到数据库查询,哪怕只是单个cat_id,也该用预处理。否则一旦参数含恶意字符串,就可能拖垮整个栏目页。
示例(安全写法):
$stmt = $pdo->prepare("SELECT * FROM articles WHERE status = ? AND cat_id = ?");
$stmt->execute([$_GET['status'] ?? 'draft', (int)($_GET['cat'] ?? 0)]);
注意点:
??运算符比isset()更简洁,适合默认值兜底execute()数组传参,别拼字符串?cat[]=5&cat[]=8),$_GET['cat']是数组,需用implode(',', array_map('intval', $_GET['cat']))生成IN列表,再配合str_repeat('?,', count($cats) - 1) . '?'动态占位加了筛选后,分页链接容易出错——比如第2页仍沿用无筛选的URL,或缓存把“全部栏目”的结果错返回给“仅显示推荐”的用户。
关键处理逻辑:
http_build_query(array_filter($_GET, function($v) { return $v !== '' && $v !== null; }))
"article_list_" . md5($_SERVER['QUERY_STRING'])
method="get",方便用户复制链接、浏览器后退、SEO收录——但要防重复提交,可加if ($_SERVER['REQUEST_METHOD'] === 'GET' && !empty($_GET)) { ... }隔离逻辑当栏目筛选叠加状态、时间、搜索词、权限过滤时,硬写if/else嵌套极易失控。此时建议抽一个轻量FilterBuilder类管理条件:
class FilterBuilder {
private $where = [];
private $params = [];
public function addCat($catId) {
if ($catId > 0) {
$this->where[] = 'cat_id = ?';
$this->params[] = (int)$catId;
}
return $this;
}
public function build() {
return ['where' => implode(' AND ', $this->where), 'params' => $this->params];
}}
// 使用
$filters = (new FilterBuilder())->addCat($_GET['cat'] ?? 0)->addStatus($_GET['status'] ?? '');
$sql = "SELECT * FROM articles WHERE " . $filters->build()['where'];
$stmt = $pdo->prepare($sql);
$stmt->execute($filters->build()['params']);
这样做的好处是条件可复用、易单元测试、后续加ES或Elasticsearch适配层也只需替换build()输出格式。
真正难的不是取到$_GET['cat'],而是确保它在SQL里不裸奔、在URL里不丢失、在缓存里不串货、在多人协作时逻辑不散落在七八个if里。
