Xử lý tham số truyền qua URL bằng $_GET trong PHP
PHP Tutorial | by
Một trong những phương pháp cơ bản và phổ biến nhất để truyền tải thông tin là thông qua các tham số trên URL. Đây là cách mà bạn thường thấy khi lướt web, từ việc tìm kiếm một sản phẩm, lọc kết quả, cho đến việc xem một bài viết cụ thể trên blog.
PHP, với vai trò là ngôn ngữ lập trình phía máy chủ, cung cấp biến Superglobal $_GET để dễ dàng thu thập và xử lý các tham số được đính kèm trực tiếp trong địa chỉ web (URL). Mặc dù phương thức này đơn giản và tiện lợi cho việc chia sẻ liên kết hay bookmark các trạng thái trang, nó cũng đi kèm với những đặc điểm riêng biệt về cách hoạt động và, quan trọng hơn, những lưu ý về bảo mật cần được tuân thủ nghiêm ngặt.
Bài viết này sẽ đi sâu vào cách $_GET hoạt động, hướng dẫn bạn từng bước cách tạo URL có tham số và cách file PHP của bạn có thể nhận diện, trích xuất dữ liệu đó. Đồng thời, chúng ta sẽ mình những cân nhắc quan trọng về an toàn và các thực tiễn tốt nhất để đảm bảo ứng dụng của bạn không chỉ linh hoạt mà còn được bảo vệ khỏi các rủi ro tiềm ẩn.
Tham Số URL Là Gì?
Tham số URL (hay còn gọi là chuỗi truy vấn - query string) là một phần của URL dùng để truyền dữ liệu nhỏ từ trình duyệt đến máy chủ. Các tham số này được thêm vào cuối URL sau một dấu hỏi chấm (?). Nếu có nhiều tham số, chúng sẽ được phân tách bằng dấu và (&).
Cấu trúc cơ bản: https://example.com/page.php?key1=value1&key2=value2
-
?: Đánh dấu sự bắt đầu của chuỗi tham số. -
key=value: Mỗi tham số là một cặp khóa-giá trị, nơikeylà tên của tham số vàvaluelà dữ liệu bạn muốn truyền. -
&: Dùng để ngăn cách giữa các cặp tham số khác nhau.
Ví dụ thực tế:
-
Khi bạn tìm kiếm "áo thun" trên một trang thương mại điện tử, URL có thể trông như thế này:
https://shopee.vn/search?keyword=áo%20thun -
Khi bạn xem sản phẩm có ID là 123:
https://myshop.com/product.php?id=123
$_GET Là Gì?
$_GET là một biến Superglobal trong PHP. Nó là một mảng kết hợp (associative array) chứa tất cả dữ liệu được gửi đến script PHP hiện tại thông qua các tham số trong URL.
Là mảng kết hợp: Dữ liệu trong $_GET được tổ chức dưới dạng các cặp khóa (key) và giá trị (value).
-
Khóa: Tương ứng với tên của tham số trong URL. Ví dụ, nếu URL là
?product=laptop, thìproductlà khóa. -
Giá trị: Là giá trị của tham số tương ứng trong URL. Ví dụ, nếu URL là
?product=laptop, thìlaptoplà giá trị.
Chỉ chứa dữ liệu GET: $_GET chỉ chứa dữ liệu từ các tham số URL. Nó không bao gồm dữ liệu từ form gửi qua POST hoặc cookie.
Tự động điền: PHP tự động điền dữ liệu vào biến $_GET khi một yêu cầu HTTP có chứa chuỗi truy vấn được gửi đến script của bạn. Bạn chỉ cần truy cập nó.
Ví Dụ Code Cơ Bản Minh Họa $_GET
Để hiểu rõ hơn cách $_GET hoạt động, hãy tạo một file PHP đơn giản.
File: display_product.php
<!DOCTYPE html>
<html lang="vi">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Thông tin Sản phẩm</title>
<style>
body { font-family: Arial, sans-serif; margin: 20px; background-color: #f4f4f4; }
.container { background-color: #fff; padding: 25px; border-radius: 8px; box-shadow: 0 2px 4px rgba(0,0,0,0.1); max-width: 600px; margin: auto; }
h1 { color: #333; }
h2 { color: #555; border-bottom: 1px solid #eee; padding-bottom: 10px; margin-top: 20px; }
p { margin-bottom: 8px; }
strong { color: #007bff; }
pre { background-color: #e9e9e9; padding: 15px; border-radius: 5px; overflow-x: auto; }
.info { color: #31708f; background-color: #d9edf7; border-color: #bce8f1; padding: 10px; border-radius: 5px; }
.warning { color: red; font-weight: bold; }
</style>
</head>
<body>
<div class="container">
<h1>Hiển Thị Thông Tin Sản Phẩm</h1>
<?php
echo "<h2>Toàn bộ nội dung của \$_GET:</h2>";
echo "<p class='info'>Dữ liệu bạn truyền qua URL sẽ xuất hiện ở đây.</p>";
echo "<pre>";
print_r($_GET);
echo "</pre>";
echo "<h2>Chi tiết Sản phẩm:</h2>";
// Bước 1: Kiểm tra sự tồn tại của tham số 'product_id'
// Luôn dùng isset() để tránh lỗi "Undefined index" nếu tham số không tồn tại.
if (isset($_GET['product_id'])) {
// Bước 2: Lấy giá trị của tham số
// htmlspecialchars() là rất quan trọng để ngăn chặn XSS khi hiển thị dữ liệu ra HTML!
$productId = htmlspecialchars($_GET['product_id']);
echo "<p>ID Sản phẩm: <strong>" . $productId . "</strong></p>";
} else {
echo "<p class='warning'>Không có ID sản phẩm được cung cấp trong URL.</p>";
}
// Kiểm tra và lấy tham số 'category' (nếu có)
if (isset($_GET['category'])) {
$category = htmlspecialchars($_GET['category']);
echo "<p>Danh mục: <strong>" . $category . "</strong></p>";
} else {
echo "<p class='note'>Không có danh mục được chỉ định.</p>";
}
// Ví dụ truy cập một tham số không tồn tại (sẽ không gây lỗi nhờ isset())
if (isset($_GET['price'])) {
echo "<p>Giá: <strong>" . htmlspecialchars($_GET['price']) . "</strong></p>";
} else {
echo "<p class='note'>Không có thông tin giá.</p>";
}
?>
<h2>Cách thử:</h2>
<ul>
<li>Truy cập: <a href="display_product.php?product_id=P001&category=electronics"><code>display_product.php?product_id=P001&category=electronics</code></a></li>
<li>Hoặc chỉ với ID: <a href="display_product.php?product_id=P002"><code>display_product.php?product_id=P002</code></a></li>
<li>Hoặc không có tham số: <a href="display_product.php"><code>display_product.php</code></a></li>
</ul>
</div>
</body>
</html>
Để kiểm tra ví dụ này:
Lưu file display_product.php vào thư mục gốc của web server (ví dụ: htdocs của XAMPP).
Mở trình duyệt và thử các URL được gợi ý trong phần "Cách thử" của file PHP.
-
Bạn sẽ thấy dữ liệu từ URL được
$_GETthu thập và hiển thị. -
Khi bạn truy cập URL không có tham số, bạn sẽ thấy thông báo "Không có ID sản phẩm được cung cấp". Điều này chứng tỏ tầm quan trọng của việc kiểm tra sự tồn tại của các tham số.
Ví dụ này minh họa cách $_GET dễ dàng thu thập dữ liệu từ URL, và cách bạn có thể truy cập từng tham số một cách an toàn.
Cách $_GET Hoạt Động trong PHP
$_GET là một biến Superglobal trong PHP, được sử dụng để thu thập dữ liệu được gửi qua URL. Để hiểu rõ cách nó làm việc, hãy cùng xem xét các đặc điểm chính của nó.
Dữ Liệu Hiển Thị Trên URL
Khi bạn sử dụng phương thức GET, dữ liệu không được gửi ẩn mà được hiển thị trực tiếp trên thanh địa chỉ (URL) của trình duyệt. Các tham số này được đính kèm vào cuối URL sau một dấu hỏi chấm (?), và nếu có nhiều tham số, chúng được ngăn cách bởi dấu và (&).
Ví dụ:
URL: https://yourwebsite.com/products.php?category=electronics&sort_by=price_asc
-
category=electronics: Tham sốcategorycó giá trị làelectronics. -
sort_by=price_asc: Tham sốsort_bycó giá trị làprice_asc.
Lợi ích:
-
Có thể Bookmark: Người dùng có thể lưu lại (bookmark) một URL với các tham số cụ thể. Điều này hữu ích cho các trang kết quả tìm kiếm, trang lọc sản phẩm, hoặc các trang có trạng thái cụ thể mà bạn muốn người dùng có thể quay lại sau.
-
Có thể Chia sẻ: Bạn có thể dễ dàng chia sẻ liên kết trực tiếp đến một trang có bộ lọc hoặc thông tin cụ thể (ví dụ: gửi link tìm kiếm cho bạn bè).
-
Dễ dàng Debug: Vì dữ liệu hiển thị rõ ràng trên URL, việc kiểm tra và gỡ lỗi trở nên đơn giản hơn.
Hạn chế:
-
Kém bảo mật: Dữ liệu nhạy cảm (như mật khẩu, thông tin cá nhân) không nên được truyền qua GET vì chúng lộ ra trên URL và có thể bị ghi lại trong lịch sử trình duyệt hoặc log máy chủ.
Giới Hạn Kích Thước
Mặc dù phương thức GET tiện lợi, nó có một giới hạn về lượng dữ liệu có thể được truyền. Giới hạn này không phải do PHP đặt ra mà do chính các trình duyệt web và máy chủ web.
-
Giới hạn độ dài URL: Hầu hết các trình duyệt và máy chủ web có giới hạn về độ dài tối đa của một URL. Giới hạn này thường nằm trong khoảng 2048 đến 8192 ký tự. Nếu bạn cố gắng truyền quá nhiều dữ liệu qua GET, URL có thể bị cắt ngắn hoặc yêu cầu có thể bị từ chối.
-
Ý nghĩa: Điều này khiến GET không phù hợp cho việc truyền tải các khối dữ liệu lớn như nội dung bài viết dài, hình ảnh, hoặc các form có nhiều trường.
Là Mảng Kết Hợp (Key-Value Pairs)
Giống như các biến Superglobal khác của PHP, $_GET là một mảng kết hợp (associative array). Điều này có nghĩa là dữ liệu được tổ chức dưới dạng các cặp khóa (key) và giá trị (value).
-
Khóa: Mỗi khóa trong mảng
$_GETtương ứng với tên của một tham số trong URL. Ví dụ, nếu URL có?product_id=123, thì'product_id'sẽ là khóa. -
Giá trị: Giá trị tương ứng với khóa đó chính là dữ liệu mà bạn đã đặt cho tham số đó trong URL.
-
Truy cập dữ liệu: Bạn có thể truy cập từng giá trị cụ thể bằng cách sử dụng tên khóa:
$_GET['tên_khóa'].
Ví Dụ Code Minh Họa: In Ra Toàn Bộ Nội Dung Của $_GET
Để hiểu rõ cách $_GET thu thập và tổ chức dữ liệu, hãy tạo một file PHP đơn giản. Khi bạn truy cập file này với các tham số trên URL, nó sẽ in ra toàn bộ nội dung của biến $_GET.
File: get_data_example.php
<!DOCTYPE html>
<html lang="vi">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Minh Họa $_GET</title>
<style>
body { font-family: Arial, sans-serif; margin: 20px; background-color: #f8f8f8; color: #333; }
.container { background-color: #ffffff; padding: 25px; border-radius: 10px; box-shadow: 0 4px 8px rgba(0,0,0,0.1); max-width: 700px; margin: 30px auto; }
h1 { color: #007bff; text-align: center; margin-bottom: 25px; }
h2 { color: #555; border-bottom: 1px solid #eee; padding-bottom: 10px; margin-top: 25px; }
p { margin-bottom: 10px; line-height: 1.6; }
strong { color: #007bff; }
pre { background-color: #eef; padding: 15px; border-radius: 8px; overflow-x: auto; margin-top: 15px; font-size: 0.95em; color: #333; }
.info-box { background-color: #e0f7fa; border-left: 5px solid #00bcd4; padding: 15px; border-radius: 5px; margin-bottom: 20px; }
.code-example { background-color: #f0f0f0; padding: 10px; border-radius: 5px; font-family: 'Courier New', Courier, monospace; font-size: 0.9em; overflow-x: auto; }
a { color: #007bff; text-decoration: none; }
a:hover { text-decoration: underline; }
</style>
</head>
<body>
<div class="container">
<h1>Cách `$_GET` Hoạt Động Trong PHP</h1>
<div class="info-box">
<p><strong>`$_GET`</strong> là một mảng kết hợp chứa tất cả dữ liệu được truyền qua **tham số URL**. Dữ liệu này hiển thị trực tiếp trên thanh địa chỉ của trình duyệt.</p>
<p>Để xem ví dụ này hoạt động, hãy thử các URL sau trên trình duyệt của bạn:</p>
<ul>
<li><a href="get_data_example.php?product=Laptop&price=1200¤cy=USD"><code>get_data_example.php?product=Laptop&price=1200¤cy=USD</code></a></li>
<li><a href="get_data_example.php?search_query=PHP%20tutorial"><code>get_data_example.php?search_query=PHP%20tutorial</code></a></li>
<li><a href="get_data_example.php?id=100&action=view_details"><code>get_data_example.php?id=100&action=view_details</code></a></li>
<li><a href="get_data_example.php"><code>get_data_example.php</code> (Không có tham số)</code></a></li>
</ul>
</div>
<?php
// Bước 1: In ra toàn bộ nội dung của biến $_GET
echo "<h2>Toàn bộ nội dung của \$_GET:</h2>";
echo "<p>Khi bạn truy cập trang này với các tham số trong URL, nội dung của biến <code>\$_GET</code> sẽ xuất hiện dưới đây:</p>";
echo "<pre>";
print_r($_GET);
echo "</pre>";
echo "<h2>Truy cập các giá trị cụ thể:</h2>";
// Bước 2: Truy cập các giá trị cụ thể bằng tên khóa
// Luôn sử dụng isset() để kiểm tra xem khóa có tồn tại hay không, tránh lỗi "Undefined index".
// htmlspecialchars() rất quan trọng để làm sạch dữ liệu trước khi hiển thị ra HTML, ngăn chặn XSS.
// Kiểm tra và hiển thị tham số 'product'
if (isset($_GET['product'])) {
$productName = htmlspecialchars($_GET['product']);
echo "<p>Tên sản phẩm: <strong>" . $productName . "</strong></p>";
} else {
echo "<p>Tên sản phẩm: <em>(Không có trong URL)</em></p>";
}
// Kiểm tra và hiển thị tham số 'price'
if (isset($_GET['price'])) {
$productPrice = htmlspecialchars($_GET['price']);
echo "<p>Giá sản phẩm: <strong>" . $productPrice . "</strong></p>";
} else {
echo "<p>Giá sản phẩm: <em>(Không có trong URL)</em></p>";
}
// Kiểm tra và hiển thị tham số 'currency'
if (isset($_GET['currency'])) {
$currency = htmlspecialchars($_GET['currency']);
echo "<p>Đơn vị tiền tệ: <strong>" . $currency . "</strong></p>";
} else {
echo "<p>Đơn vị tiền tệ: <em>(Không có trong URL)</em></p>";
}
// Kiểm tra và hiển thị tham số 'search_query'
if (isset($_GET['search_query'])) {
$searchQuery = htmlspecialchars($_GET['search_query']);
echo "<p>Bạn đã tìm kiếm: <strong>" . $searchQuery . "</strong></p>";
} else {
echo "<p>Không có truy vấn tìm kiếm.</p>";
}
// Kiểm tra và hiển thị tham số 'id'
if (isset($_GET['id'])) {
$itemId = htmlspecialchars($_GET['id']);
echo "<p>ID mục: <strong>" . $itemId . "</strong></p>";
} else {
echo "<p>Không có ID mục.</p>";
}
// Kiểm tra và hiển thị tham số 'action'
if (isset($_GET['action'])) {
$action = htmlspecialchars($_GET['action']);
echo "<p>Hành động yêu cầu: <strong>" . $action . "</strong></p>";
} else {
echo "<p>Không có hành động yêu cầu.</p>";
}
?>
</div>
</body>
</html>
Thực Hành Lấy Dữ Liệu Từ URL Với $_GET trong PHP
Để hiểu cách $_GET hoạt động trong thực tế, chúng ta sẽ tạo một file PHP đơn giản để nhận và hiển thị dữ liệu được truyền qua URL.
Cách Tạo URL Có Tham Số
Tham số URL là cách để bạn gửi dữ liệu nhỏ trực tiếp trong địa chỉ trang web. Chúng thường được dùng để chỉ định ID của một sản phẩm, một loại danh mục, hoặc các tiêu chí tìm kiếm.
Cấu trúc cơ bản: tên_file.php?tham_so1=gia_tri1&tham_so2=gia_tri2
-
Dấu
?đánh dấu sự bắt đầu của các tham số. -
Mỗi tham số là một cặp
khóa=giá_trị. -
Các tham số được phân tách bằng dấu
&.
Ví dụ trong HTML: Bạn có thể tạo các liên kết (hyperlink) với các tham số URL như sau:
<!DOCTYPE html>
<html lang="vi">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Ví dụ Link GET</title>
<style>
body { font-family: Arial, sans-serif; margin: 20px; }
.link-container { border: 1px solid #ccc; padding: 20px; border-radius: 8px; max-width: 600px; margin: 20px auto; }
h2 { color: #333; text-align: center; margin-bottom: 25px; }
ul { list-style: none; padding: 0; }
li { margin-bottom: 10px; }
a { color: #007bff; text-decoration: none; font-weight: bold; }
a:hover { text-decoration: underline; }
.note { font-size: 0.9em; color: #666; margin-top: 15px; text-align: center; }
</style>
</head>
<body>
<h2>Click vào các link dưới đây để xem cách dữ liệu được truyền qua URL:</h2>
<div class="link-container">
<ul>
<li><a href="display_details.php?id=123&type=product">Xem chi tiết sản phẩm ID 123</a></li>
<li><a href="display_details.php?category=books&sort=title_asc">Xem danh mục Sách, sắp xếp theo tên</a></li>
<li><a href="display_details.php?search=php%20tutorial&page=2">Tìm kiếm 'php tutorial' ở trang 2</a></li>
<li><a href="display_details.php">Truy cập trang không có tham số</a></li>
</ul>
<p class="note">Quan sát thanh địa chỉ của trình duyệt khi bạn nhấp vào các liên kết này.</p>
</div>
</body>
</html>
Khi bạn nhấp vào các liên kết này, trình duyệt sẽ gửi một yêu cầu đến display_details.php kèm theo các tham số được chỉ định trong URL.
Xử Lý Dữ Liệu Bằng PHP
Ở phía máy chủ, bạn sẽ sử dụng file PHP (display_details.php) để nhận và xử lý các tham số được gửi qua URL bằng biến Superglobal $_GET.
Kiểm tra sự tồn tại của dữ liệu: Đây là bước cực kỳ quan trọng. Trước khi cố gắng truy cập một tham số từ $_GET, bạn PHẢI kiểm tra xem tham số đó có tồn tại hay không. Nếu không, PHP sẽ báo lỗi Undefined index, làm dừng script của bạn hoặc gây ra lỗi không mong muốn.
-
Sử dụng
isset($_GET['ten_tham_so'])để kiểm tra xem một khóa có được đặt (và không phảiNULL) hay không. -
Hoặc dùng
!empty($_GET['ten_tham_so'])nếu bạn muốn kiểm tra xem khóa đó có tồn tại VÀ có giá trị không rỗng (không phải"",0,false,NULL).
Lấy dữ liệu: Sau khi đã kiểm tra sự tồn tại, bạn có thể truy cập giá trị của tham số bằng cú pháp: $_GET['ten_tham_so'].
Làm sạch dữ liệu (htmlspecialchars()): Trước khi hiển thị bất kỳ dữ liệu nào nhận được từ người dùng (kể cả từ URL) ra trang HTML, bạn phải sử dụng htmlspecialchars(). Hàm này giúp ngăn chặn các cuộc tấn công Cross-Site Scripting (XSS) bằng cách chuyển đổi các ký tự đặc biệt của HTML thành các thực thể HTML, đảm bảo trình duyệt hiển thị chúng dưới dạng văn bản thay vì thực thi mã.
File: display_details.php
<!DOCTYPE html>
<html lang="vi">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Thông Tin Chi Tiết</title>
<style>
body { font-family: Arial, sans-serif; margin: 20px; background-color: #f8f8f8; color: #333; }
.container { background-color: #ffffff; padding: 25px; border-radius: 10px; box-shadow: 0 4px 8px rgba(0,0,0,0.1); max-width: 700px; margin: 30px auto; }
h1 { color: #007bff; text-align: center; margin-bottom: 25px; }
h2 { color: #555; border-bottom: 1px solid #eee; padding-bottom: 10px; margin-top: 25px; }
p { margin-bottom: 10px; line-height: 1.6; }
strong { color: #007bff; }
pre { background-color: #eef; padding: 15px; border-radius: 8px; overflow-x: auto; margin-top: 15px; font-size: 0.95em; color: #333; }
.info-box { background-color: #e0f7fa; border-left: 5px solid #00bcd4; padding: 15px; border-radius: 5px; margin-bottom: 20px; }
.warning { color: red; font-weight: bold; }
.success { color: green; font-weight: bold; }
a { color: #007bff; text-decoration: none; }
a:hover { text-decoration: underline; }
</style>
</head>
<body>
<div class="container">
<h1>Xử Lý Dữ Liệu Từ URL Với `$_GET`</h1>
<div class="info-box">
<p><strong>`$_GET`</strong> cho phép bạn dễ dàng lấy các tham số từ URL. Dưới đây là cách chúng ta xử lý dữ liệu đó.</p>
</div>
<?php
echo "<h2>Toàn bộ nội dung của \$_GET:</h2>";
// In ra toàn bộ nội dung của biến $_GET để thấy dữ liệu được thu thập
echo "<pre>";
print_r($_GET);
echo "</pre>";
echo "<h2>Chi tiết dữ liệu đã nhận:</h2>";
// --- Lấy và Hiển thị Tham số 'id' ---
if (isset($_GET['id'])) {
$id = htmlspecialchars($_GET['id']); // Làm sạch dữ liệu trước khi hiển thị
echo "<p>ID nhận được: <strong>" . $id . "</strong></p>";
} else {
echo "<p class='warning'>Không có ID sản phẩm/mục được cung cấp.</p>";
}
// --- Lấy và Hiển thị Tham số 'type' ---
if (isset($_GET['type'])) {
$type = htmlspecialchars($_GET['type']);
echo "<p>Loại: <strong>" . $type . "</strong></p>";
} else {
echo "<p>Loại: <em>(Không có)</em></p>";
}
// --- Lấy và Hiển thị Tham số 'category' ---
if (isset($_GET['category']) && !empty($_GET['category'])) {
$category = htmlspecialchars($_GET['category']);
echo "<p>Danh mục: <strong>" . $category . "</strong></p>";
} else {
echo "<p>Danh mục: <em>(Không được chỉ định)</em></p>";
}
// --- Lấy và Hiển thị Tham số 'sort' ---
if (isset($_GET['sort'])) {
$sortOrder = htmlspecialchars($_GET['sort']);
echo "<p>Sắp xếp theo: <strong>" . $sortOrder . "</strong></p>";
} else {
echo "<p>Sắp xếp theo: <em>(Mặc định)</em></p>";
}
// --- Lấy và Hiển thị Tham số 'search' (chứa khoảng trắng được mã hóa %20) ---
if (isset($_GET['search']) && !empty($_GET['search'])) {
$searchQuery = htmlspecialchars($_GET['search']);
echo "<p>Từ khóa tìm kiếm: <strong>" . $searchQuery . "</strong></p>";
} else {
echo "<p>Từ khóa tìm kiếm: <em>(Không có)</em></p>";
}
// --- Lấy và Hiển thị Tham số 'page' ---
if (isset($_GET['page']) && is_numeric($_GET['page'])) { // Kiểm tra cả là số
$pageNumber = (int)$_GET['page']; // Ép kiểu sang số nguyên
echo "<p>Trang số: <strong>" . $pageNumber . "</strong></p>";
} else {
echo "<p>Trang số: <em>(Mặc định là 1)</em></p>";
}
// Nếu không có bất kỳ tham số nào, thông báo
if (empty($_GET)) {
echo "<p class='warning'>Không có bất kỳ tham số nào được truyền qua URL.</p>";
echo "<p class='note'>Vui lòng thử nhấp vào các liên kết trong file <a href='registration_form.html'>HTML form mẫu</a> để xem cách dữ liệu được truyền.</p>";
} else {
echo "<p class='success'>Dữ liệu từ URL đã được nhận và xử lý thành công!</p>";
}
?>
<p style="text-align: center; margin-top: 30px;"><a href="registration_form.html">Quay lại trang ví dụ</a></p>
</div>
</body>
</html>
Để kiểm tra ví dụ này:
-
Lưu hai file trên (
registration_form.html- hoặc một tên khác cho file HTML chứa link, vàdisplay_details.php) vào cùng một thư mục trong môi trường máy chủ web của bạn. -
Mở trình duyệt và truy cập file HTML (ví dụ:
https://localhost/your_folder/registration_form.html). -
Nhấp vào các liên kết và quan sát cách
display_details.phphiển thị dữ liệu từ URL.
Các Lưu Ý Quan Trọng Về Bảo Mật Và Thực Tiễn Khi Dùng $_GET trong PHP
Mặc dù $_GET rất tiện lợi cho một số trường hợp, việc sử dụng nó đòi hỏi sự cẩn trọng đặc biệt về bảo mật và tuân thủ các thực tiễn tốt nhất.
Bảo Mật Là Trên Hết
Nguyên tắc bất biến trong lập trình web là: "Không bao giờ tin tưởng dữ liệu từ người dùng!" Đặc biệt với $_GET, dữ liệu hiển thị rõ ràng trên URL, dễ dàng bị thao túng bởi kẻ tấn công.
Không tin tưởng dữ liệu người dùng: Kẻ tấn công có thể dễ dàng thay đổi các tham số trong URL để gửi dữ liệu độc hại hoặc không mong muốn đến ứng dụng của bạn. Ví dụ, họ có thể thay đổi ?id=123 thành ?id=DROP%20TABLE%20users để cố gắng xóa cơ sở dữ liệu.
Phòng chống Cross-Site Scripting (XSS): XSS là khi kẻ tấn công chèn mã script độc hại (thường là JavaScript) vào dữ liệu mà ứng dụng của bạn sau đó hiển thị ra cho người dùng khác. Nếu bạn lấy dữ liệu từ $_GET và in trực tiếp ra HTML mà không xử lý, mã độc đó có thể được thực thi.
-
Giải pháp: Luôn sử dụng hàm
htmlspecialchars()khi bạn hiển thị bất kỳ dữ liệu nào nhận được từ người dùng (kể cả từ URL) ra trang HTML. Hàm này chuyển đổi các ký tự HTML đặc biệt thành các thực thể HTML, khiến trình duyệt hiển thị chúng dưới dạng văn bản thay vì mã.
<?php
echo "<h4>Ví dụ: Phòng chống XSS với `htmlspecialchars()`</h4>";
// Giả lập một URL độc hại: ?name=<script>alert('XSS!');</script>
$_GET['name'] = "<script>alert('XSS Attack!');</script>";
echo "<h5>Cách KHÔNG AN TOÀN (dễ bị XSS):</h5>";
// echo "Chào mừng, " . $_GET['name']; // TUYỆT ĐỐI KHÔNG làm thế này!
echo "<p style='color: red;'>Nếu bạn bỏ dòng này ra, cửa sổ alert sẽ hiện lên!</p>";
echo "<h5>Cách AN TOÀN (sử dụng htmlspecialchars()):</h5>";
echo "<p>Chào mừng, " . htmlspecialchars($_GET['name']) . "</p>";
// Output: Chào mừng, <script>alert('XSS Attack!');</script>
// Trình duyệt sẽ hiển thị toàn bộ chuỗi này dưới dạng văn bản an toàn.
?>
Phòng chống SQL Injection: SQL Injection là khi kẻ tấn công chèn các đoạn mã SQL độc hại vào các tham số URL, nhằm thao túng hoặc truy cập trái phép cơ sở dữ liệu. Nếu dữ liệu từ $_GET được sử dụng trực tiếp để xây dựng truy vấn SQL, database của bạn có thể bị xâm phạm.
-
Giải pháp: Luôn sử dụng Prepared Statements (câu lệnh đã chuẩn bị) thông qua PDO hoặc MySQLi khi tương tác với cơ sở dữ liệu. Prepared Statements giúp bạn gửi câu lệnh SQL và dữ liệu riêng biệt, ngăn chặn SQL Injection hiệu quả.
<?php
echo "<h4>Ví dụ: Phòng chống SQL Injection với Prepared Statements</h4>";
// Giả lập dữ liệu nhận được từ URL
$_GET['user_id'] = "1 OR 1=1"; // Nỗ lực tấn công
$_GET['product_id'] = "10";
echo "<h5>Cách KHÔNG AN TOÀN (dễ bị SQL Injection):</h5>";
// TUYỆT ĐỐI KHÔNG NỐI CHUỖI TRỰC TIẾP VỚI DỮ LIỆU NGƯỜI DÙNG VÀO SQL!
// $sql_bad = "SELECT * FROM products WHERE id = " . $_GET['user_id'];
// Với dữ liệu trên, câu lệnh sẽ trở thành:
// SELECT * FROM products WHERE id = 1 OR 1=1
// Điều này sẽ trả về TẤT CẢ các sản phẩm, thay vì chỉ một sản phẩm có ID cụ thể.
echo "<p style='color: red;'><code>\$sql = \"SELECT * FROM products WHERE id = \$_GET[user_id]\";</code></p>";
echo "<p class='warning'>→ **Rất nguy hiểm!** Cho phép tấn công SQL Injection.</p>";
echo "<h5>Cách AN TOÀN (sử dụng Prepared Statements với PDO):</h5>";
// (Đây chỉ là ví dụ logic, không kết nối cơ sở dữ liệu thực tế)
$db_connection_status = "Đã kết nối PDO"; // Giả định đã có kết nối PDO
$stmt_preparation = "\$stmt = \$pdo->prepare(\"SELECT * FROM products WHERE id = :id\");";
$param_binding = "\$stmt->bindParam(':id', \$product_id_from_get);"; // $product_id_from_get sẽ là giá trị đã được làm sạch
$execution = "\$stmt->execute();";
echo "<p>" . $db_connection_status . "</p>";
echo "<code>" . htmlspecialchars($stmt_preparation) . "</code><br>";
echo "<code>" . htmlspecialchars($param_binding) . "</code><br>";
echo "<code>" . htmlspecialchars($execution) . "</code><br>";
echo "<p style='color: green;'>→ **An toàn!** Dữ liệu được truyền riêng biệt, ngăn chặn chèn mã độc.</p>";
?>
Không dùng cho dữ liệu nhạy cảm: Tuyệt đối không truyền các thông tin nhạy cảm như mật khẩu, thông tin cá nhân (số điện thoại, địa chỉ, số CMND/CCCD), hoặc token phiên (session token) qua URL bằng phương thức GET. Dữ liệu này sẽ hiển thị rõ ràng trên URL, dễ bị ghi lại trong lịch sử trình duyệt, log máy chủ, và có thể bị đánh cắp.
Xác Thực Dữ Liệu (Validation)
Bên cạnh việc làm sạch dữ liệu để ngăn chặn tấn công, bạn cần xác thực dữ liệu để đảm bảo nó đúng định dạng, kiểu dữ liệu và đáp ứng các yêu cầu nghiệp vụ của ứng dụng. Điều này đặc biệt quan trọng với $_GET vì dữ liệu có thể được người dùng chỉnh sửa dễ dàng.
-
Kiểm tra định dạng: Đảm bảo một tham số
emailcó định dạng email hợp lệ,URLcó định dạng URL hợp lệ, v.v. -
Kiểm tra kiểu dữ liệu: Đảm bảo một tham số mà bạn mong đợi là số nguyên thì phải là số nguyên.
-
Kiểm tra độ dài/phạm vi: Đảm bảo
idnằm trong phạm vi cho phép,search_querykhông quá dài. -
Giải pháp: Hàm
filter_var()của PHP là một công cụ tuyệt vời cho việc này. Nó cung cấp nhiều bộ lọc (FILTER_VALIDATE_*) để kiểm tra tính hợp lệ.
<?php echo "<h4>Ví dụ: Xác thực dữ liệu với `filter_var()`</h4>"; // Giả lập dữ liệu nhận được từ URL $_GET['item_id'] = "123"; $_GET['invalid_item_id'] = "abc"; $_GET['user_rating'] = "4.5"; $_GET['email_param'] = "[email protected]"; $_GET['invalid_email_param'] = "bad-email"; // Xác thực ID (phải là số nguyên) if (isset($_GET['item_id'])) { $itemId = filter_var($_GET['item_id'], FILTER_VALIDATE_INT); if ($itemId !== false) { // filter_var trả về false nếu không hợp lệ echo "<p>ID hợp lệ: <strong>" . htmlspecialchars($itemId) . "</strong></p>"; } else { echo "<p style='color: red;'>ID '" . htmlspecialchars($_GET['item_id']) . "' không hợp lệ (phải là số nguyên).</p>"; } } if (isset($_GET['invalid_item_id'])) { $invalidItemId = filter_var($_GET['invalid_item_id'], FILTER_VALIDATE_INT); if ($invalidItemId !== false) { echo "<p>ID hợp lệ: <strong>" . htmlspecialchars($invalidItemId) . "</strong></p>"; } else { echo "<p style='color: red;'>ID '" . htmlspecialchars($_GET['invalid_item_id']) . "' không hợp lệ (phải là số nguyên).</p>"; } } // Xác thực số thập phân (float) if (isset($_GET['user_rating'])) { $userRating = filter_var($_GET['user_rating'], FILTER_VALIDATE_FLOAT); if ($userRating !== false) { echo "<p>Đánh giá hợp lệ: <strong>" . htmlspecialchars($userRating) . "</strong></p>"; } else { echo "<p style='color: red;'>Đánh giá '" . htmlspecialchars($_GET['user_rating']) . "' không hợp lệ (phải là số thập phân).</p>"; } } // Xác thực Email if (isset($_GET['email_param'])) { $email = filter_var($_GET['email_param'], FILTER_VALIDATE_EMAIL); if ($email) { echo "<p>Email hợp lệ: <strong>" . htmlspecialchars($email) . "</strong></p>"; } else { echo "<p style='color: red;'>Email '" . htmlspecialchars($_GET['email_param']) . "' không hợp lệ.</p>"; } } if (isset($_GET['invalid_email_param'])) { $invalidEmail = filter_var($_GET['invalid_email_param'], FILTER_VALIDATE_EMAIL); if ($invalidEmail) { echo "<p>Email hợp lệ: <strong>" . htmlspecialchars($invalidEmail) . "</strong></p>"; } else { echo "<p style='color: red;'>Email '" . htmlspecialchars($_GET['invalid_email_param']) . "' không hợp lệ.</p>"; } } ?>
Xử Lý Lỗi Và Giá Trị Mặc Định
Khi làm việc với các tham số URL, không phải lúc nào người dùng cũng cung cấp đầy đủ hoặc đúng định dạng dữ liệu.
Cung cấp giá trị mặc định: Nếu một tham số không bắt buộc và không được cung cấp trong URL, bạn có thể gán cho nó một giá trị mặc định thay vì báo lỗi.
<?php echo "<h4>Ví dụ: Giá trị mặc định</h4>"; // URL: page.php hoặc page.php?sort_order=desc $sortOrder = isset($_GET['sort_order']) ? htmlspecialchars($_GET['sort_order']) : 'asc'; // Mặc định là 'asc' echo "<p>Thứ tự sắp xếp: <strong>" . $sortOrder . "</strong></p>"; // URL: page.php hoặc page.php?items_per_page=10 $itemsPerPage = isset($_GET['items_per_page']) && is_numeric($_GET['items_per_page']) ? (int)$_GET['items_per_page'] : 20; // Mặc định là 20 echo "<p>Số mục trên mỗi trang: <strong>" . $itemsPerPage . "</strong></p>"; ?>
Thông báo lỗi rõ ràng: Nếu một tham số là bắt buộc và không được cung cấp hoặc không hợp lệ, hãy hiển thị thông báo lỗi rõ ràng cho người dùng. Điều này giúp họ hiểu vấn đề và sửa lại URL hoặc thao tác.
<?php
echo "<h4>Ví dụ: Thông báo lỗi cho tham số bắt buộc</h4>";
// URL: product.php hoặc product.php?id=abc
if (isset($_GET['product_id']) && is_numeric($_GET['product_id'])) {
$productId = (int)$_GET['product_id'];
echo "<p class='success'>Đang tải thông tin cho sản phẩm có ID: <strong>" . $productId . "</strong></p>";
// Logic để tải sản phẩm từ CSDL
} else {
echo "<p class='warning'>Lỗi: Vui lòng cung cấp ID sản phẩm hợp lệ (ví dụ: ?product_id=123).</p>";
}
?>
Bằng cách tuân thủ những lưu ý về bảo mật và thực tiễn tốt nhất này, bạn có thể xây dựng các ứng dụng web không chỉ mạnh mẽ về chức năng mà còn an toàn và đáng tin cậy khi xử lý dữ liệu từ URL.
Kết bài
Việc xử lý dữ liệu từ URL bằng $_GET là một kỹ năng cơ bản nhưng thiết yếu trong lập trình web với PHP. Chúng ta đã khám phá cách các tham số được nhúng trực tiếp vào địa chỉ web, cho phép truyền tải dữ liệu một cách rõ ràng và dễ dàng. Điều này đặc biệt hữu ích cho các chức năng như tìm kiếm, lọc, hoặc khi bạn muốn người dùng có thể bookmark hay chia sẻ một liên kết có chứa trạng thái cụ thể của trang.
Tuy nhiên, sự tiện lợi của $_GET đi kèm với những cân nhắc quan trọng về bảo mật. Dữ liệu hiển thị trên URL dễ bị thay đổi và có thể bị khai thác bởi kẻ tấn công. Do đó, việc không bao giờ tin tưởng dữ liệu người dùng, luôn sử dụng htmlspecialchars() để chống XSS, và áp dụng Prepared Statements khi tương tác với cơ sở dữ liệu là những nguyên tắc không thể thiếu. Quan trọng nhất, hãy nhớ rằng $_GET không bao giờ nên được dùng để truyền tải dữ liệu nhạy cảm như mật khẩu hay thông tin cá nhân.
Bên cạnh bảo mật, việc xác thực dữ liệu (sử dụng filter_var()) và cung cấp giá trị mặc định hoặc thông báo lỗi rõ ràng là những thực tiễn tốt giúp ứng dụng của bạn trở nên mạnh mẽ và thân thiện hơn với người dùng.
