如何在 PHP 表单提交后安全返回并显示验证错误信息

通过重定向配合查询参数传递验证错误数组，并在表单页解析显示，是 php 原生开发中实现“后端校验 → 前端反馈”最简洁可靠的方式。

在核心 PHP 项目中，表单提交后跳转至独立控制器（如 RegistrationController.php）进行数据验证，是一种常见且职责分离的设计。但需注意：不能直接 include 或 require 表单页来显示错误——这会破坏请求-响应流程，导致重复提交、CSRF 风险及状态混乱。正确做法是使用 HTTP 302 重定向 + 查询参数（Query String） 将错误信息安全传回原始表单页（如 sign-up.php）。

✅ 推荐实现步骤

1. 在控制器中验证并重定向
   使用 http_build_query() 安全序列化错误数组，再通过 header('Location: ...') 发起重定向：

// Controllers/RegistrationController.php
$errors = Validator::validateUser($data);

if (empty($errors)) {
    // ✅ 验证通过：执行数据库插入等逻辑
    // $user = User::create($data);
    // $_SESSION['success'] = '注册成功！';
    header('Location: ./sign-up.php?status=success');
    exit;
} else {
    // ❌ 验证失败：将错误数组作为 URL 参数重定向回 sign-up.php
    $query = http_build_query(['errors' => $errors]);
    header("Location: ./sign-up.php?$query");
    exit;
}

⚠️ 注意：exit 或 die() 必须紧跟 header() 后调用，防止后续代码意外执行；路径建议使用相对路径（如 ./sign-up.php）或完整 URL（如 https://yoursite.com/sign-up.php），避免协议/域名缺失问题。

2. 在 sign-up.php 中接收并渲染错误
   在表单页顶部解析 $_GET['errors']，并安全输出（需 HTML 转义防 XSS）：

    用户名：
username" 
        value="">
    
    
        
    

    邮箱：
    
    
        
    

    注册

? 安全与体验增强建议

• 避免敏感信息暴露在 URL 中：密码、token 等字段绝不可出现在查询参数里；本例仅传递错误消息（如 "邮箱格式不正确"），符合安全规范。
• 支持多语言/结构化错误：可将 $errors 设计为关联数组 ['email' => '邮箱已被占用']，前端按字段精准定位提示。
• 补充成功提示：如上例中的 ?status=success，可在 sign-up.php 中统一处理成功态（如显示 Toast 提示并清空表单）。
• 保留用户已填内容：利用 $_POST（重定向后已丢失）不可行，故需在重定向前将原始输入存入 $_SESSION，或改用 AJAX 方案（进阶选型）。

该方案轻量、无 JS 依赖、兼容所有浏览器，是原生 PHP 表单验证反馈的经典实践。