17370845950

PHP接收参数后须立即校验：用filter_var()清洗并验证格式，JSON需手动解析并检查json_last_error()，数据库插入前还需业务层校验（如唯一性），校验逻辑应抽为独立函数确保复用与一致性。

PHP 接收前端参数后怎么第一时间做格式校验

不校验就入库，等于把数据库当垃圾场。PHP 后端必须在 $_POST、$_GET 或 JSON body 解析后立即校验，而不是等进到业务逻辑里才判断。

推荐用原生 filter_var() + 自定义规则组合，避免过早依赖框架（比如 Laravel 的 validate()），方便排查和调试。

• 对字符串字段：用 filter_var($val, FILTER_SANITIZE_STRING) 清洗，再用 strlen() 和正则判断长度与格式
• 对邮箱：直接用 filter_var($email, FILTER_VALIDATE_EMAIL)，别自己写正则
• 对数字：优先用 filter_var($num, FILTER_VALIDATE_INT) 或 FILTER_VALIDATE_FLOAT，注意 0 和 "0" 都合法，但 "0abc" 会被截断成 0 —— 所以要加 FILTER_FLAG_STRIP_LOW 等辅助标志
• 对日期字符串（如 "2025-05-20"）：用 DateTime::createFromFormat() 配合 !$date->getLastErrors() 判断是否真能解析，比 strtotime() 更严格

JSON 请求体（Content-Type: application/json）怎么安全取参

前端用 fetch() 或 axios 发 JSON，PHP 默认不自动解析到 $_POST，必须手动读取 php://input 并 json_decode()。

常见错误是忽略 json_last_error()，导致 null 被当成空数组继续处理，最后插入一堆 NULL 到数据库。

立即学习“PHP免费学习笔记（深入）”；

if ($_SERVER['CONTENT_TYPE'] === 'application/json') {
    $raw = file_get_contents('php://input');
    $data = json_decode($raw, true);
    if (json_last_error() !== JSON_ERROR_NONE) {
        http_response_code(400);
        echo json_encode(['error' => 'Invalid JSON']);
        exit;
    }
}

• 永远检查 json_last_error()，不能只靠 is_array($data)
• json_decode($raw, true) 的第二个参数必须为 true，否则返回对象，后续用 $data['name'] 会报错
• 如果前端发了空 body（{}），$data 是空数组，不是 null；要单独判断必填字段是否存在

数据库插入前还要再校验一次？为什么

是的。HTTP 层校验只能防“明显错误”，但防不了业务冲突，比如用户名已存在、手机号重复、库存超卖。这些必须在 DB 层或事务中验证。

例如用户注册：前端传了 phone，你用 filter_var() 确认是合法手机号格式，但没查库确认是否已被注册 —— 这属于业务校验，必须在 INSERT 前执行 SELECT COUNT(*) 或用唯一索引 + 捕获 SQLSTATE[23000] 错误。

• 不要在 SQL 里拼接变量做校验，用预处理语句：$stmt = $pdo->prepare("SELECT 1 FROM users WHERE phone = ?");
• 如果用 MySQL 唯一索引，捕获异常时检查 $e->getCode() 是否为 23000，而不是靠 strpos($e->getMessage(), 'Duplicate')
• 时间类字段（如 created_at）不要依赖前端传的时间，统一用 date('Y-m-d H:i:s') 或数据库 NOW()

为什么建议把校验逻辑抽成独立函数而不是堆在控制器里

因为同一个字段（比如手机号）可能在注册、修改资料、重置密码多个接口里都要校验，硬编码会导致改一处漏三处。抽成函数后，还能复用单元测试。

例如写一个 validatePhone($phone)：

function validatePhone($phone): array
{
    if (!is_string($phone)) {
        return ['valid' => false, 'msg' => 'Phone must be string'];
    }
    $clean = filter_var(trim($phone), FILTER_SANITIZE_NUMBER_INT);
    if (strlen($clean) !== 11 || strpos($clean, '1') !== 0) {
        return ['valid' => false, 'msg' => 'Invalid Chinese mobile format'];
    }
    return ['valid' => true, 'value' => $clean];
}

• 返回数组而非布尔值，便于带上错误信息，前端可直接展示
• 函数内部不做 DB 查询，只做格式/长度/基础规则，保持轻量
• 调用时统一用 if (!$result['valid']) { ... }，避免 empty() 或 == false 引发的隐式转换问题

真正容易被忽略的是：校验函数返回的清洗后值（比如去除了空格和横线的手机号），必须和最终入库的值一致 —— 否则前端显示和数据库存的不一致，查 bug 会绕晕。