本文目录导读:
在PHP项目中实现用户资料修改,通常遵循以下标准流程,我会从前后端交互、数据验证和安全性三个核心方面为你详细拆解。
核心流程逻辑
- 用户登录:确保用户已登录,通常通过
Session或JWT存储用户ID。 - 加载旧数据:从数据库读取用户当前信息,填充到表单中。
- 表单提交:用户修改信息后提交。
- 后端验证:检查 email 格式、昵称长度、密码强度等。
- 防注入处理:使用预处理语句(Prepared Statements)。
- 执行更新:执行
UPDATESQL 语句。 - 反馈结果:返回成功/失败消息。
详细代码实现(以 MySQL + PDO + Session 为例)
数据库准备
CREATE TABLE users (
id INT PRIMARY KEY AUTO_INCREMENT,
username VARCHAR(50) UNIQUE NOT NULL,
email VARCHAR(100) UNIQUE NOT NULL,
password_hash VARCHAR(255) NOT NULL,
avatar VARCHAR(255) DEFAULT 'default.png',
bio TEXT,
updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);
显示用户信息表单 (profile.php)
<?php
session_start();
if (!isset($_SESSION['user_id'])) {
header('Location: login.php');
exit;
}
require_once 'db.php'; // 包含 PDO 连接
$userId = $_SESSION['user_id'];
$stmt = $pdo->prepare("SELECT username, email, avatar, bio FROM users WHERE id = ?");
$stmt->execute([$userId]);
$user = $stmt->fetch();
if (!$user) {
die('用户不存在');
}
?>
<!DOCTYPE html>
<html>
<head><title>修改资料</title></head>
<body>
<!-- 注意:enctype="multipart/form-data" 用于头像上传 -->
<form action="update_profile.php" method="post" enctype="multipart/form-data">
<label>用户名:</label>
<input type="text" name="username" value="<?= htmlspecialchars($user['username']) ?>" required>
<label>邮箱:</label>
<input type="email" name="email" value="<?= htmlspecialchars($user['email']) ?>" required>
<label>个人简介:</label>
<textarea name="bio"><?= htmlspecialchars($user['bio']) ?></textarea>
<label>新密码(留空则不修改):</label>
<input type="password" name="password">
<label>确认新密码:</label>
<input type="password" name="password_confirm">
<label>上传头像:</label>
<input type="file" name="avatar" accept="image/*">
<button type="submit">保存修改</button>
</form>
<!-- 显示当前头像 -->
<img src="uploads/<?= htmlspecialchars($user['avatar']) ?>" width="100">
</body>
</html>
处理表单提交 (update_profile.php)
<?php
session_start();
if (!isset($_SESSION['user_id'])) {
http_response_code(403);
exit('请先登录');
}
require_once 'db.php';
$userId = $_SESSION['user_id'];
$errors = [];
$updateFields = []; // 待更新的字段
$params = []; // 对应的参数值
// --- 1. 更新用户名 ---
if (!empty($_POST['username'])) {
$username = trim($_POST['username']);
if (mb_strlen($username) < 2 || mb_strlen($username) > 20) {
$errors[] = '用户名长度需在 2-20 个字符之间';
} else {
// 检查唯一性
$stmt = $pdo->prepare("SELECT id FROM users WHERE username = ? AND id != ?");
$stmt->execute([$username, $userId]);
if ($stmt->fetch()) {
$errors[] = '用户名已被占用';
} else {
$updateFields[] = 'username = ?';
$params[] = $username;
}
}
}
// --- 2. 更新邮箱 ---
if (!empty($_POST['email'])) {
$email = filter_var(trim($_POST['email']), FILTER_VALIDATE_EMAIL);
if (!$email) {
$errors[] = '邮箱格式不正确';
} else {
$stmt = $pdo->prepare("SELECT id FROM users WHERE email = ? AND id != ?");
$stmt->execute([$email, $userId]);
if ($stmt->fetch()) {
$errors[] = '邮箱已被占用';
} else {
$updateFields[] = 'email = ?';
$params[] = $email;
}
}
}
// --- 3. 更新简介 ---
$bio = trim($_POST['bio'] ?? '');
if (mb_strlen($bio) > 500) {
$errors[] = '简介不能超过500字';
} else {
$updateFields[] = 'bio = ?';
$params[] = $bio;
}
// --- 4. 更新密码(可选)---
if (!empty($_POST['password'])) {
$password = $_POST['password'];
$confirm = $_POST['password_confirm'] ?? '';
if (strlen($password) < 8) {
$errors[] = '密码长度至少 8 位';
} elseif ($password !== $confirm) {
$errors[] = '两次密码不一致';
} else {
$hashed = password_hash($password, PASSWORD_DEFAULT);
$updateFields[] = 'password_hash = ?';
$params[] = $hashed;
}
}
// --- 5. 上传头像(可选)---
if (isset($_FILES['avatar']) && $_FILES['avatar']['error'] === UPLOAD_ERR_OK) {
$file = $_FILES['avatar'];
$allowedTypes = ['image/jpeg', 'image/png', 'image/gif', 'image/webp'];
$maxSize = 2 * 1024 * 1024; // 2MB
if ($file['size'] > $maxSize) {
$errors[] = '头像文件不能超过 2MB';
} elseif (!in_array($file['type'], $allowedTypes)) {
$errors[] = '仅支持 JPG/PNG/GIF/WebP 格式';
} else {
// 生成唯一文件名
$ext = pathinfo($file['name'], PATHINFO_EXTENSION);
$newName = uniqid('avatar_') . '.' . $ext;
$uploadDir = 'uploads/';
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}
if (move_uploaded_file($file['tmp_name'], $uploadDir . $newName)) {
$updateFields[] = 'avatar = ?';
$params[] = $newName;
} else {
$errors[] = '头像上传失败,请检查目录权限';
}
}
}
// --- 6. 执行更新 ---
if (empty($errors)) {
if (!empty($updateFields)) {
$sql = "UPDATE users SET " . implode(', ', $updateFields) . " WHERE id = ?";
$params[] = $userId;
$stmt = $pdo->prepare($sql);
if ($stmt->execute($params)) {
$_SESSION['success_msg'] = '资料修改成功!';
} else {
$_SESSION['error_msg'] = '更新失败,请重试';
}
} else {
$_SESSION['error_msg'] = '没有需要修改的内容';
}
} else {
$_SESSION['error_msg'] = implode('<br>', $errors);
}
// 7. 重定向回个人资料页
header('Location: profile.php');
exit;
关键安全措施
| 风险点 | 防护措施 |
|---|---|
| SQL注入 | 使用 PDO 预处理语句(prepare() + execute()) |
| XSS | 输出时使用 htmlspecialchars() |
| CSRF | 添加 Token(高级应用中需要) |
| 密码泄露 | 使用 password_hash() 存储,绝不存明文 |
| 文件上传漏洞 | 限制类型、大小、重命名、检查 MIME |
| 越权操作 | 更新时必须带上 WHERE id = ?,且 id 来自 Session |
进阶优化建议
-
使用 AJAX(异步提交): 避免页面刷新,提升用户体验,用
fetch()或axios提交表单,后端返回 JSON 结果。 -
实时验证: 用户名/邮箱是否被占用可以写一个独立的接口
check_duplicate.php,前端通过 AJAX 实时检测。 -
记录日志: 记录用户修改了什么字段、时间、IP,方便后续审计。
-
限制修改频率: 30分钟内只能修改1次用户名,防止恶意刷修改。
-
使用成熟的框架: 真正生产环境建议使用 Laravel、ThinkPHP 等框架,它们内置了验证规则、ORM、文件存储等功能,安全性和开发效率都更高。
用户资料修改的核心是:安全接收(Session验证)→ 严格验证(格式+唯一性)→ 安全更新(预处理语句+密码哈希)→ 友好反馈(重定向+Session消息),按此流程实现,兼顾了功能完整性和安全性。
