场景引入：张华的校园痛点

欢迎来到本次的 PHP全栈开发 进阶课堂！ 张华同学最近在生活中发现了一个痛点：同学们买个肥皂、买本练习册都要面临烦琐的流程和耗时的等待。为了解决这个问题，他萌生了开发一个便捷 校园购物平台 的伟大构想。

要想愉快地“剁手”，总得先有个合法的身份。所以我们今天的首要任务，是帮张华构建稳如泰山的 用户注册平台，彻底打通前后端任督二脉，实现数据安全且丝滑的交互体验。

1. 表单基础与数据收集

构建数据收费站：HTML表单

表单（Form）在 Web 世界里扮演着极其关键的角色，它就像是互联网的 数据采集器。无论是注册账号、登录游戏，还是偷偷给喜欢的主播留言，都要用到它。HTML 中的 <form> 标签定义了这个收集站的边界，里面装满了各种类型的 表单控件。

🔔 注意： 每一个 <input> 标签都有自己的专属名字（name属性），里面的数据则是 value 属性。 如果你忘记给控件加上 name，服务器可不知道你收上来的是什么数据。这叫做 无效提交。

<form name="registerForm" action="register.php" method="post">
    <label for="username">大侠尊姓大名：</label>  
    <input type="text" id="username" name="username" placeholder="请输入用户名"> 
  
    <label>性别：</label>
    <input type="radio" name="gender" value="male" checked> 男汉子
    <input type="radio" name="gender" value="female"> 女汉子
  
    <input type="submit" value="开启新世界的大门">
</form>

GET与POST：数据的两种快递方式

填好表单后，数据需要寄送给服务器。此时我们拥有两大护法：GET 和 POST。

你可以把服务器收到数据的过程想成了收快递的区别：

特性	GET 请求 (明信片)	POST 请求 (保险箱)
可见性	全部参数在 URL 后缀明文显示	数据封装在 HTTP Request Body 中
安全性	极低，密码会被直接看光	较高，适合进行数据提交
容量大小	受限于浏览器URL长度限制 (约2KB)	无直接大小限制（受服务器配置影响）
应用场景	搜索页面、获取商品列表	用户注册、登录提现、上传大文件

为了更直观地理解，请看下面我为你准备的交互动画：

安全准则

对于涉及密码或注册这样的隐私环节，绝不允许使用 GET！ 我们必须果断使用 POST 方式，并通过 PHP 的超全局变量 $_POST 来安全接收防弹车里的数据。

2. HTTP协议：通信世界的交通规则

数据在网络中飞驰，必须遵守一套全球通用的交通规则，这就大名鼎鼎的 HTTP协议 (超文本传送协议)。 它是个绝对理性的搬运工作者。严格基于 “请求-响应” 模式运行。完成一次网络交互的时间消耗用数学表示的话：

$$T_{total} = T_{DNS} + T_{TCP} + T_{HTTP\_request} + T_{HTTP\_response}$$

请求与响应解剖

在一次完整的数据交互中，客户端的“请求报文”和服务器的“响应报文”包含了极重要的元数据。

• Headers（头信息）：核对数据格式、限制长度、声明客户端类型、甚至携带验证凭据。
• Status Code（状态码）：
  • 200 OK：一切顺利！
  • 301 / 302：你要找的东西搬家了，跳转中。
  • 404 Not Found：文件不存在，通常是前端访问地址写错了。
  • 500 Internal Server Error：服务器代码挂了（很可能是你的 PHP 出错啦！）。

3. 会话控制技术：赋予服务器“记忆”

正如前文指出的，HTTP 协议本身是一个 无状态机制（Stateless） 协议：意味着服务器是个“健忘症”患者。如果你在这页面登录了，跳转到下一页，服务器已经不认识你了！为了跨页面实现 状态保持，我们将使用两个法宝：Cookie 结合 Session。

双剑合璧保持状态

• Cookie：存放在用户浏览器本地的小卡片，就像理发店发给你的临时会员卡。
• Session：存放在服务器上的绝对机密档案，记录了你的详细登录状态与余额。

下面这个生动的演示动画，向你揭露了这两者是如何精妙配合的：

PHP 操作机密档案

在原生 PHP 中，控制大局只需几行代码：

<?php
// 第一步：开启Session这台记忆机器 (必须放在文档第一行)
session_start();

// 第二步：颁发实体会员卡Cookie，有效期 1 小时 (3600秒)
setcookie('VIP_Name', 'ZhangHua', time() + 3600);

// 第三步：在后台Session内存中记录核心档案
$_SESSION['user_status'] = '已登录';
echo "恭喜你，服务器已经牢牢记住你的面孔了！";
?>

4. JSON格式与异步交互 (AJAX)

随着校园购物平台功能的丰富，每次点击“加入购物车”都触发整页刷新，简直是灾难。张华希望操作不要打断浏览体验，这时候必须引入异步数据标准：AJAX 和 JSON。

JSON：互联网的世界语

JSON (JavaScript Object Notation) 是一种极轻量的数据交换格式。它像是一个跨语言翻译官，PHP、JS 甚至 Python 都能完美识别它。

{
  "status": "success",
  "message": "购物车添加完毕",
  "goods": {
    "name": "超能雕牌肥皂",
    "price": 5.5
  }
}

PHP 处理 JSON 绝招

在 PHP 开发中，把复杂的数组转化为 JSON 字符串输出给前端，十分简单：

<?php
$response = [
    "status" => "error",
    "msg" => "您的余额不足，无法购买高档肥皂！"
];

// 向浏览器严正声明：接下来我给你返回的是机器阅读的 JSON 数据！
header('Content-Type: application/json; charset=utf-8');

// 把数组一键打包成 JSON 字符串发送
echo json_encode($response);
?>

5. 正则表达式：超级探测雷达

在注册中，总有乱填手机或粗心写错邮箱的用户。单纯的字符串替换在此刻显露乏力。正则表达式（Regex）是一种非常强大的 模式匹配雷达。 依靠这套宛如外星咒语的语言设定，配合 PHP 自带的 preg_match() 函数，你能秒判用户的输入合法性。

下面是正则表达式中最常用的一些“暗号”：

元字符	描述与作用	示例演示
^ 和 $	分别表示字符串的开头和结尾，用来精准限制边界	^abc$ 只能匹配纯纯的 "abc"
\d	匹配任意一个数字 (digit)	\d\d\d 可以匹配 "123" 或 "999"
\w	匹配任意一个字母、数字或下划线 (word)	\w+ 可匹配 "user_name123"
[...]	字符集合，匹配括号内出现的任意一个字符	[abc] 匹配 "a", "b" 或 "c"
[^...]	负向字符集合，匹配不在括号内的任意字符	[^0-9] 匹配任何非数字字符
{n,m}	量词：规定前面的元素连续出现 最少n次，最多m次	\d{4,6} 匹配 4 到 6 位纯数字
*、+、?	简写量词：零或多 (*)、一或多 (+)、零或一 (?)	a+ 匹配 "a", "aa", "aaaaa" 等

案例 1：手机号精准匹配

<?php
$phone = "13812345678";
// 匹配严格的11位中国大陆手机号
// 解析：以1开头 -> 第二位是345678中的一个 -> 后跟9个纯数字 -> 结尾
$pattern = '/^1[345678]\d{9}$/';

if (preg_match($pattern, $phone)) {
    echo "手机号格式正确，准许放行！";
} else {
    echo "查无此号，请重新输入合法的手机号码！";
}
?>

为了方便你理解这句满是“火星文”的正则表达式是如何生效的，我专门制作了下面这台正则雷达扫描器，你可以自行输入测试：

更多常用业务案例展示

正则表达式的应用远不止手机号验证。以下是在日常开发中经常要碰到的几个“正则套餐”：

📧 验证电子邮箱 (Email)

邮箱是最经典的验证场景。要求包含 @ 符号和域名后缀（如 .com）。

$email = "zhanghua@school.edu.cn";
// 允许字母/数字/点/中划线/下划线 + @ + 域名 + 获取特定顶级域名后缀
$pattern = '/^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,6}$/';

if (preg_match($pattern, $email)) {
    echo "完美的邮箱地址！";
}

🆔 验证二代身份证 (18位)

对于涉及金融或实名认证的场景，你需要更长的雷达频段：17位数字加上最后一位（数字或字母X）。

$idCard = "11010519900101123X";
// 匹配17个数字，加上末尾是数字或者是大写X、小写x
$pattern = '/^\d{17}[\dxX]$/';

if (preg_match($pattern, $idCard)) {
    echo "身份证格式雷达扫描通过！";
}

💡 正则太难背不下来？

正则表达式被称为“写一遍，然后自己都看不懂”的代码。作为初学者，不要试图死记硬背所有的正则符号。 你只需要保存常用的代码片段，或者在开发时向 AI 大模型提出需求（例如：请帮我写一段匹配车牌号的PHP正则），就能轻松搞定。

6. 安全过滤机制：代码防弹衣

红色禁区：黑客警告

“永远、永远、永远不要信任用户的任何输入！” 这是安全领域雷打不动的格言。不洗澡的数据就是包含脏弹的数据，可能导致恐怖的跨站脚本攻击（XSS）。

开发者的基础防御武器：

1. trim(): 帮你干掉用户乱加的前端外围空格。
2. strip_tags(): 暴力没收所有的 HTML 和 PHP 标签，寸草不留。
3. htmlspecialchars(): 把特殊字符变成合法的实体编码（防执行），将其变为死文字。

这些冷冰冰的函数到底是如何工作的呢？体验一下咱们下方的这台“安全洗澡机”就明白了。输入带恶意标签的脚本，让它们无处遁形：

7. 拔剑实战：无坚不摧的注册引擎

纸上得来终觉浅，绝知此事要躬行。现在，我们将前面的绝招融会贯通，帮张华同学把校园购物注册平台的引擎彻底点火轰鸣。

我们同时集成了：前端接收规范、XSS 暴力防御、正则表达式严密校验，以及完整的状态会话登记全流程。来感受这流转在指间的编程快感吧！

<?php
// 1. 唤醒记忆机制
session_start();

// 2. 检查是否是通过POST“运钞车”送来的数据
if ($_SERVER["REQUEST_METHOD"] == "POST") {
  
    // 3. 安全防御第一线：穿牢防弹衣洗掉脏东西
    $raw_username = trim($_POST['username'] ?? '');
    $username = htmlspecialchars(strip_tags($raw_username)); 
    $phone = trim($_POST['phone'] ?? '');
  
    // 设定专门的情报箱，收集案发错误
    $errors = []; 

    // 4. 正则校验：启动精密雷达严格核实成分
    if (!preg_match('/^[a-zA-Z0-9_]{4,16}$/', $username)) {
        $errors[] = "警告：用户名成分不合规，请输入4至16位的英数及下划线！";
    }
  
    if (!preg_match('/^1[345678]\d{9}$/', $phone)) {
        $errors[] = "警告：这不是一串正常的中国大陆手机号！";
    }

    // 5. 宣判总结果，奖惩分明机制处理
    if (empty($errors)) {
        // 数据完美！发个Cookie奖励通行证，并向后台注册状态
        setcookie("last_register", $username, time() + 86400); 
        $_SESSION['current_user'] = $username;
        
        echo "<h2>🎉注册大获成功！欢迎入驻校园购物平台，{$username}！</h2>";
    } else {
        // 遭遇翻车，一五一十展示案发原因
        echo "<h2 style='color:red;'>注册动作惨遭驳回：</h2><ul>";
        foreach ($errors as $error) {
            echo "<li>" . $error . "</li>";
        }
        echo "</ul>";
    }
} else {
    echo "⚠️ 抱歉保安！业务入口仅受理标准的 POST 表单递交！";
}
?>

8. 课程知识点总结

知识模块	核心概念解析	实战应用场景
HTTP协议与表单	GET (明文传递) 与 POST (隐蔽提交)	为校园购物系统收集并传输极度隐私的注册数据
状态会话控制	Session 服务器档案库与 Cookie 本地令牌	让无状态的 HTTP 记住用户已登录的身份信息
数据交互格式	JSON 轻量级数据标量与 AJAX 异步通信	实现“加入购物车”时不刷新页面的无缝顺滑体验
数据精密校验	正则表达式 ^1[3-8]\d{9}$ 的模式匹配	建立坚固的防火墙，秒杀不符合格式的异常邮箱或手机号
攻击安防反制	htmlspecialchars() 等清洗函数	在前端洗白展示用户注册阶段留下的不可控数据

9. 后续进阶建议

1. 思考：在真实的抢购秒杀系统中，为什么仅靠前端 JavaScript 限制频率是不行的？作为 PHP 后端该如何进行防刷机制部署？
2. 挑战：自学了解并使用 fetch API (前端 JavaScript) 发送包含 JSON 数据包的异步请求给 PHP 后端文件。

贡献者: Gabrlie

上一页第 5 课：数据处理

下一页第 7 课：文件和目录操作