17370845950

PHP后端接口需明确请求入口、数据校验、响应格式和错误处理四件事；必须设置JSON响应头、安全获取参数、开启错误显示、加基础防护，否则易出现500/404/空响应。

PHP 后端接口不是“写个文件就能用”，关键在于明确请求入口、数据校验、响应格

式和错误处理这四件事。没做对，前端调用会卡在 500、404 或空响应上。

怎么让 PHP 文件直接响应 JSON 请求

接口本质是 HTTP 响应，不是页面渲染。必须显式设置响应头，否则浏览器或前端框架可能解析失败：

• 开头加 header('Content-Type: application/json; charset=utf-8');
• 避免任何输出（包括空格、BOM、echo 前的换行），否则触发 Headers already sent 错误
• 用 json_encode() 封装数据，并检查返回值是否为 false（比如中文编码不一致时）

示例最小可行接口（api/user.php）：

 123, 'name' => '张三'];
echo json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
?>

GET 和 POST 参数怎么安全获取

不能直接用 $_GET 或 $_POST 原样取值——它们可被篡改，且类型不可控：

• 用 filter_input() 做类型过滤：比如 filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT) 返回 null 而非字符串 "123"
• POST 表单和 JSON Body 是两回事：file_get_contents('php://input') 才能读原始 JSON，再用 json_decode() 解析
• 别漏掉 trim() 和 htmlspecialchars()（若后续要输出到 HTML）

为什么接口总返回 500 却没报错信息

默认 PHP 错误被隐藏，尤其线上环境 display_errors = Off。调试阶段必须打开：

• 临时开启：在接口文件开头加 ini_set('display_errors', '1'); error_reporting(E_ALL);
• 更稳妥的是查日志：error_log() 写入自定义文件，或看 Web 服务器错误日志（如 Nginx 的 error.log）
• 常见隐形坑：include 路径错、扩展没启用（如 mbstring 缺失导致 json_encode 失败）、MySQL 连接未判断就执行查询

如何避免接口被随意调用

简单接口不加防护，等于把数据库钥匙挂在门把手上：

• 最基础：检查 $_SERVER['REQUEST_METHOD'] 是否为预期方法（如只允许 POST）
• 加时间戳 + 签名验证（如用 hash_hmac('sha256', $data, $secret)），比单纯 token 更防重放
• 敏感操作（如删除、支付）必须用 POST 或 DELETE，禁止用 GET 带关键参数

真正难的不是写出一个能返回 JSON 的 PHP 文件，而是让每一次请求都落在预期路径里、每一条数据都经过类型和权限校验、每一个异常都有明确日志可追溯——这些细节堆起来，才是接口稳不稳的分水岭。