17370845950

新闻动态
php后端接口开发案例_php后端接口开发实战案例
正确接收JSON需读取php://input并json_decode;CORS需设全允许头并拦截OPTIONS;密码用password_hash/verify;PDO操作须try-catch并统一响应格式。

$_POSTjson_decode() 正确接收前端 JSON 数据

很多 PHP 接口收不到前端发来的 JSON,不是因为跨域或路由问题,而是没意识到 $_POST 默认不解析原始请求体。前端用 fetchaxiosContent-Type: application/json 时,PHP 不会自动填充 $_POST 数组。

正确做法是读取 php://input 并手动解码:

if ($_SERVER['CONTENT_TYPE'] === 'application/json') {
    $raw = file_get_contents('php://input');
    $data = json_decode($raw, true);
    if (json_last_error() !== JSON_ERROR_NONE) {
        http_response_code(400);
        echo json_encode(['error' => 'Invalid JSON']);
        exit;
    }
}
  • 别直接依赖 $_POST 判断数据是否存在,它对纯 JSON 请求始终为空
  • json_decode($raw, true) 的第二个参数设为 true 才返回关联数组,否则是对象,后续取值方式不同
  • 务必检查 json_last_error(),前端偶尔发错格式(如尾逗号、单引号)会导致 $datanull

header() 设置 CORS 但避开预检失败

开发阶段本地调前端常卡在 OPTIONS 预检,不是没加 Access-Control-Allow-Origin,而是漏了其他配套头或方法限制太死。

最小可用配置(仅限开发环境):

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    exit(0);
}
  • Access-Control-Allow-Credentials: true 时,Access-Control-Allow-Origin 不能为 *,需明确写域名(如 http://localhost:3000
  • 前端带 Authorization 或自定义 header 时,Access-Control-Allow-Headers 必须显式列出,不能只写 *(部分旧版浏览器不支持)
  • 必须拦截 OPTIONS 请求并 exit,否则后续逻辑可能报错或返回非 200 响应,导致浏览器拒绝实际请求

password_hash()password_verify() 处理登录密码

别再用 md5()sha1() 存密码——哪怕加盐也不安全。PHP 内置的 password_hash() 自动处理盐值、算法迭代和格式封装。

注册时存哈希:

$hash = password_hash($password, PASSWORD_ARGON2ID, [
    'memory_cost' => 65536,
    'time_cost' => 4,
    'threads' => 3
]);

登录时验证:

if (password_verify($input_password, $stored_hash)) {
    // 登录成功
} else {
    // 密码错误
}
  • 优先选 PASSWORD_ARG

    ON2ID    (PHP 7.2+),比默认的 BLOWFISH 更抗 GPU 暴力破解
  • 参数里的 memory_cost 等值要根据服务器内存调整,设太高会超时;开发机建议先用 PASSWORD_DEFAULT 简单起步
  • password_verify() 能识别哈希字符串里内置的算法和参数,无需额外存盐或算法标识

try...catch 包裹 PDO 操作并统一返回结构

数据库异常直接暴露给前端不仅不安全,还会破坏接口约定格式。得把 PDOException 拦下来,转成标准 JSON 响应。

try {
    $pdo = new PDO($dsn, $user, $pass, [
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    ]);
    $stmt = $pdo->prepare('SELECT * FROM users WHERE id = ?');
    $stmt->execute([$id]);
    $user = $stmt->fetch();
    echo json_encode(['code' => 0, 'data' => $user]);
} catch (PDOException $e) {
    error_log('DB Error: ' . $e->getMessage());
    http_response_code(500);
    echo json_encode(['code' => 500, 'msg' => 'Server error']);
}
  • PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION 是关键,否则 execute() 失败只返回 false,没法用 catch 捕获
  • 别在 catch 里返回 $e->getMessage(),里面可能含表名、字段名甚至 SQL 片段
  • 所有接口响应尽量保持相同顶层结构(如都带 codemsg),前端不用每处都写不同解析逻辑

实际部署时,PASSWORD_ARGON2ID 可能因系统缺少 libsodium 而退化,password_needs_rehash() 得定期检查;CORS 头在 Nginx 层加有时比 PHP 里更稳;PDO 连接最好用连接池或复用,而不是每次请求都新建。

广照天下广告 广照天下广告 广照天下广告策划 广照天下广告策划 广照天下 广照天下 广照天下 广照天下 广照天下 广照天下 广照天下广告策划 广照天下广告策划 广照天下广告策划 广照天下广告策划 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司

赣ICP备2024031479号