答案：PHP通过$_POST和$_GET获取表单数据，需用trim、htmlspecialchars等函数过滤验证，防止XSS和SQL注入，推荐使用PDO预处理和CSRF令牌保障安全。

在PHP开发中，表单提交是最常见的用户数据交互方式。正确获取并安全处理这些数据，是保证应用稳定和安全的基础。

使用$_POST和$_GET获取表单数据

PHP通过超全局数组 $_POST 和 $_GET 获取表单提交的数据，具体使用哪个取决于表单的 method 属性。

例如，一个登录表单：

在 login.php 中获取数据：

使用 null 合并运算符（??）可以避免未定义索引的警告，是一种推荐写法。

基本数据过滤与验证

直接使用用户输入存在风险，必须进行过滤和验证。

• 去除多余空格：使用 trim() 函数
• 过滤特殊字符：htmlspecialchars() 防止XSS攻击
• 验证邮箱格式：filter_var($email, FILTER_VALIDATE_EMAIL)
• 数字验证：is_numeric() 或 filter_var($num, FILTER_VALIDATE_INT)

示例：安全输出用户名

防止常见安全漏洞

表单处理中最需警惕的是SQL注入和跨站脚本（XSS）。

• 使用预处理语句（PDO或MySQLi）：避免拼接SQL
• 对输出内容进行转义：特别是显示用户输入时
• 限制文件上传类型：若涉及文件上传，需检查 MIME 类型和扩展名
• 使用CSRF令牌：防止跨站请求伪造

例如，使用PDO预处理插入用户数据：

基本上就这些。只要养成先过滤、再验证、最后安全存储的习惯，就能有效提升表单处理的安全性。不复杂但容易忽略细节。