Wie HTML und PHP kommunizieren

POST vs. GET: Das Postboten-Modell für Formulare

Hier lernst du

Formulare verarbeiten

Du lernst, Benutzereingaben aus Formularen zu empfangen

POST vs. GET

Du verstehst die Unterschiede und weisst, wann du was verwendest

Daten validieren

Du kannst Eingaben pruefen und sicher verarbeiten

Das Konzept

Bisher haben wir Variablen in PHP fest in den Code geschrieben ("Hardcoding"). In der Realität wollen wir aber, dass User auf unserer Website Daten in ein Formular eingeben und PHP diese Daten verarbeitet. Dafür müssen das HTML-Formular (Browser) und PHP (Server) miteinander sprechen. Es gibt dafür zwei primäre Transportwege: GET und POST.

Die Postkarten & Paket Metapher

Die Postkarte (GET)

Die Daten werden offen verschickt und oben an die URL (Webadresse) drangehängt. Jeder kann sie sehen.

website.at/index.php?name=Max

Das Paket (POST)

Die Daten werden im Karton versteckt und unsichtbar im Hintergrund verschickt. Die URL bleibt völlig sauber.

website.at/index.php (+ unsichtbare Daten)

Teil 1: Das HTML-Formular

Egal ob GET oder POST, das Formular braucht zwingend Namensschilder für PHP:

<form action="" method="POST" >
    <label>Wie heißt du?</label>
    <input type="text" name="schueler_name">

    <button type="submit">Abschicken</button>
</form>

action="": Gibt an, wohin das Formular geschickt wird. Ist es leer, lädt die Seite einfach neu.
method="...": Legt fest, wie transportiert wird (POST = unsichtbar, GET = in der URL).
name="...": DAS WICHTIGSTE ATTRIBUT! Dies ist das Namensschild. Ohne dieses Attribut weiß PHP nicht, was im Feld stand. Die HTML-id ist PHP völlig egal!

Teil 2: Die PHP-Auswertung

Sobald der User auf "Abschicken" klickt, nimmt PHP das Paket (oder die Postkarte) an:

<?php
// Wenn im HTML method="POST" steht, nutzen wir $_POST:
if (isset($_POST['schueler_name'])) {
    $eingabeName = $_POST['schueler_name'];
    echo "Hallo, " . $eingabeName;
}

// Wenn im HTML method="GET" steht, nutzen wir $_GET:
if (isset($_GET['schueler_name'])) {
    $eingabeName = $_GET['schueler_name'];
    echo "Hallo, " . $eingabeName;
}
?>

Die goldene Regel: Das Wort innerhalb der Klammer bei $_POST['HIER'] muss exakt mit dem Wort im HTML beim Attribut name="HIER" übereinstimmen!

Wann nutze ich was? Nutze GET für Dinge, die man als Link teilen können soll (z.B. ein Suchergebnis oder Youtube-Video-IDs). Nutze POST für alles andere (Passwörter, Anmeldeformulare, Datei-Uploads oder vertrauliche Daten).

Teil 3: GET vs. POST – der direkte Vergleich

Merkmal	GET (Postkarte)	POST (Paket)
Daten sichtbar?	✅ Ja – in der URL	🔒 Nein – versteckt im HTTP-Body
Als Link teilbar?	✅ Ja	❌ Nein
Datenmenge	⚠️ Begrenzt (URL-Länge ~2000 Zeichen)	✅ Unbegrenzt (auch Datei-Uploads)
PHP-Variable	$_GET['name']	$_POST['name']
Typischer Einsatz	Suche, Filter, Navigation	Login, Registrierung, Formulare

Teil 4: Sicherheit – XSS verhindern

Wenn wir eine Benutzereingabe direkt per echo ausgeben, öffnen wir ein Sicherheitsloch: Ein Angreifer könnte als Eingabe HTML- oder JavaScript-Code eintragen, der dann im Browser aller User ausgeführt wird. Das nennt man Cross-Site Scripting (XSS).

Unsicher (❌)

// Angreifer tippt ein: <script>alert('Gehackt!')</script>
$name = $_POST['name'];
echo "Hallo, " . $name; // Script wird ausgeführt!

Sicher (✅)

// htmlspecialchars() macht HTML-Tags harmlos
$name = htmlspecialchars($_POST['name']);
echo "Hallo, " . $name; // Gibt sicher: <script>...

Die Regel: Immer htmlspecialchars() beim Ausgeben

Jede Variable, die aus einer Benutzereingabe ($_POST, $_GET) stammt und per echo ausgegeben wird, muss durch htmlspecialchars(). Das wandelt gefährliche Zeichen wie < und > in harmlose HTML-Entitäten um.

Cheat Sheet: Formulare auf einen Blick

HTML-Formular

PHP-Auswertung (sicher)

if (isset($_POST['feld'])) {
$wert = htmlspecialchars($_POST['feld']);
echo $wert;
}

GET-Daten lesen

// URL: seite.php?id=5
$id = $_GET['id']; // "5"

XSS-Schutz

$sicher = htmlspecialchars($_POST['feld']);
echo $sicher; // Immer so!

Dynamische Webseiten 2 | eduhigh.net | Seminarunterlagen