本文详解如何通过 url 参数在不同 php 页面间传递图像路径，并在目标页正确显示图片，同时规避路径拼接错误、sql 注入与文件路径遍历等常见安全风险。

在图像标注类 Web 应用中（如药用西林瓶缺陷标注系统），常需实现「缩略图列表 → 点击跳转 → 大图展示+Canvas标注」的流程。你当前遇到的核心问题并非“PHP 无法显示图片”，而是路径上下文丢失与参数未正确传递/校验——test.php 中直接使用未定义的 $batch_number 变量拼接路径，导致 immagini/$batch_number/xxx.jpg 解析失败。

✅ 正确做法：显式传递 + 安全校验 + 路径规范化

1. 缩略图页（scegli_immagine.php）：带批次号传递

修改 链接，同时传递 batch_number 和 vial_image（避免在 test.php 中重新查询或依赖未定义变量）：

// 替换原 echo 行为：
echo "" .
     "@@##@@";

✅ 关键改进：

• urlencode() 确保文件名中空格、中文、特殊字符安全传输；
• htmlspecialchars() 防止 XSS（若文件名来自用户输入）；
• 显式传 batch={$batch_number}，使 test.php 可直接读取。

2. 图像详情页（test.php）：严格校验路径，拒绝越界访问

无效的批次号或图像文件名
');
}

// ✅ 2. 构建绝对路径并验证文件存在性
$imagePath = 'immagini/' . $batch . '/' . $vial;
if (!is_file($imagePath) || !getimagesize($imagePath)) {
    die('
图像不存在或不是有效图片文件
');
}

// ✅ 3. 安全输出（推荐：用 @@##@@ 标签，而非直接 echo HTML）
?>





    
批次： | 图像：

    
    @@##@@" 
         alt="Vial image" 
         style="max-width:80%; height:auto; border:1px solid #ccc;">

    
    

    

    
← 返回缩略图列表
立即学习“PHP免费学习笔记（深入）”；

⚠️ 必须规避的风险点

✅ 进阶建议（提升健壮性）

• 统一资源路径管理：定义常量 define('IMAGE_ROOT', __DIR__ . '/immagini');，后续用 realpath(IMAGE_ROOT . "/$batch/$vial") 并检查是否仍在 IMAGE_ROOT 下。
• 缩略图自动生成：用 imagecreatefromjpeg() + imagecopyresized() 动态生成缩略图，避免手动维护两套文件。
• Canvas 标注保存：前端用 canvas.toDataURL() 获取标注后图像，通过 AJAX 发送至 save_annotation.php 存储。

只要确保参数显式传递、路径严格校验、输出全面转义，跨页面显示图像完全可靠。核心不是“PHP 能否显示图片”，而是“你能否让服务器精准定位并安全交付那个文件”。