17370845950

微信公众号接收消息时必须先校验signature：将token、timestamp、nonce按字典序排序拼接后SHA1加密，与signature比对；GET请求含echostr时需原样返回并exit；POST消息须用file_get_contents('php://input')读XML，simplexml_load_string解析，并注意UTF-8编码、BOM及XML转义。

微信公众号接收消息时如何正确校验签名

不校验签名就直接处理消息，接口会被任意第三方调用，轻则泄露用户数据，重则被恶意刷接口。微信服务器在推送消息（如文本、事件）或开发者配置服务器URL时，都会携带 signature、timestamp、nonce 和（可选）echostr 四个参数。

校验逻辑必须严格按微信文档执行：将 token（你在公众号后台填写的令牌）、timestamp、nonce 三者字典序排序后拼接，再做 SHA1 运算，比对结果是否等于 signature。

• token 必须和公众号后台「服务器配置」中填写的一致，大小写敏感
• PHP 中推荐用 sha1(implode('', $arr))，不要用 md5 或自行拼接顺序错误
• 注意：GET 请求中若含 echostr，说明是微信在验证服务器地址，校验通过后需原样返回该值并 exit，不能输出任何其他字符（包括空格、BOM、换行）

如何解析微信 XML 消息并提取关键字段

微信所有普通消息（文本、图片、事件等）都以 UTF-8 编码的 XML 形式 POST 到你的服务器，不能当 JSON 解析，也不能用 $_POST 直接读取字段——因为原始 body 是 XML，不是表单数据。

必须用 file_get_contents('php://input') 获取原始输入流，再用 simplexml_load_string() 解析。注意：simplexml_load_string() 对非法 UTF-8 字符（如用户发了带 emoji 的文本）会静默失败，建议加 @ 抑制警告，并检查返回值是否为 false。

• 常见字段： $xml->ToUserName（公众号ID）、$xml->FromUserName（用户OpenID）、$xml->MsgType（如 text、event）、$xml->Event（仅事件消息有，如 subscribe）
• 中文内容需确保 PHP 文件本身保存为 UTF-8 无 BOM，且响应头设为 Content-Type: text/xml; charset=utf-8
• 别直接 echo $xml->Content 返回，要重新组装标准响应 XML，否则微信客户端收不到回复

回复文本消息的 XML 格式及时间戳陷阱

微信要求回复必须是特定结构的 XML，且 CreateTime 必须是秒级时间戳（不是毫秒），类型为整型。填错会导致消息不显示或延迟。

最简可用的文本回复模板如下（注意转义 和 &）：

FromUserName, ENT_NOQUOTES, 'UTF-8'); ?>]]>
ToUserName, ENT_NOQUOTES, 'UTF-8'); ?>]]>

• htmlspecialchars() 必须用于所有动态插入 CDATA 的字段，防止 XML 解析失败
• time() 足够，别用 microtime(true) 或字符串时间
• 整个响应体不能有任何额外输出（如 var_dump、print_r、空行），否则微信解析 XML 失败，视为处理失败

接入时 401/404/500 错误的典型原因

公众号后台提示“配置失败”，或微信服务器反复重试推送，基本不是微信问题，而是你服务

• 404：确认 Nginx/Apache 是否将所有请求（尤其是带 query 参数的）正确路由到你的 PHP 入口文件；检查 URL 是否含多余斜杠或大小写错误
• 401：签名校验失败，重点查 token 是否和后台一致、三个参数是否漏传或类型错误（如 timestamp 是字符串但参与了数值比较）
• 500：常见于 XML 解析失败后未 exit，导致后续代码报错；或用了 json_decode($_POST) 这类完全无效的操作；也可能是 PHP 开启了 display_errors，把错误信息直接输出成非 XML 内容

真正难调试的点往往藏在字符编码和空白字符里：一个看不见的 UTF-8 BOM、响应前多了一个空格、CDTA 区域里混入了未转义的 &，都会让整个 XML 失效。建议先用最简逻辑（只校验 + 原样回 echostr）跑通，再逐步加功能。