17370845950

本文详解如何安全处理 php 表单中通过 name="docid[]" 提交的多选复选框值，利用 explode() 按首空格精准拆分字符串，并避免“array to string conversion”错误，同时提供数据库插入的实用示例。

在处理带结构化值的复选框（如 ）时，常见误区是直接对 explode() 的返回结果使用 echo ——但该函数始终返回数组，而 echo 无法输出数组，从而触发 “Array to string conversion” 警告。

正确做法是：使用 explode(' ', $val, 2) 的第三个参数限制分割次数为 2，确保仅在第一个空格处切分，得到形如 ['1234', 'harry potter'] 的两元素数组。这样既避免了多空格或多余单词干扰，又便于分别提取 ID 和标题：

";
        echo "Title: " . htmlspecialchars($title) . "

";

        // ✅ 数据库插入示例（使用 PDO 预处理，防止 SQL 注入）
        // $pdo->prepare("INSERT INTO documents (doc_id, title) VALUES (?, ?)")->execute([$docId, $title]);
    }
}
?>

⚠️ 注意事项：

• 永远不要直接输出或拼接用户输入：使用 htmlspecialchars() 渲染前端，用预处理语句（PDO/MySQLi）写入数据库；
• 校验分割结果：用空合并操作符 ?? '' 防止 $parts[1] 未定义导致 Notice；
• 避免 print_r() / var_dump() 用于生产环境输出：仅调试时使用，上线前需移除；
• 若业务要求更严格的格式（如 ID 必须为纯数字），建议额外添加 is_numeric($docId) && ctype_digit($docId) 校验。

总结：explode($delimiter, $string, $limit) 的 $limit 参数是精准解析结构化表单值的关键；结合空合并、类型校验与预处理查询，即可健壮、安全地完成从表单提交到数据库落地的全流程。