Apache+PHP启用HTTPS需配置mod_ssl、虚拟主机SSLEngine on及证书路径,并用SetEnvIf透传HTTPS状态;Nginx+PHP-FPM需在fastcgi_param中显式设置HTTPS=on;PHP中应优先检查$_SERVER['HTTPS']==='on',再回退至$_SERVER['HTTP_X_FORWARDED_PROTO']。
Apache + PHP 怎么启用 HTTPS 并让 $_SERVER 变量正确识别
PHP 本身不处理 HTTPS 协议层,它依赖 Web 服务器(如 Apache 或 Nginx)完成 TLS 握手和证书加载。关键在于:Web 服务器必须正确配置 SSL/TLS,并把加密状态透传给 PHP,否则 $_SERVER['HTTPS'] 会是空或 off,导致 $_SERVER['REQUEST_URI']、重定向逻辑、URL 生成等出错。
常见错误现象:$_SERVER['HTTPS'] 始终为 '' 或 off,即使浏览器地址栏显示锁图标;用 http_build_query() 拼接跳转 URL 时仍生成 http:// 开头。
- 确认 Apache 已加载
mod_ssl:运行apachectl -M | grep ssl,应看到ssl_module (shared) - 在虚拟主机配置中启用
SSLEngine on,并指定证书路径:SSLEngine on SSLCertificateFile /etc/ssl/certs/example.com.crt SSLCertificateKeyFile /etc/ssl/private/example.com.key SSLCertificateChainFile /etc/ssl/certs/intermediate.crt # 必须加这行,否则 PHP 无法感知 HTTPS SetEnvIf X-Forwarded-Proto https HTTPS=on - 如果前端有反向代理(如 Nginx 或 CDN),Apache 实际监听的是 HTTP,此时要靠
X-Forwarded-Proto头判断,不能只信$_SERVER['HTTPS']—— 应统一用isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on'或更稳妥地检查$_SERVER['HTTP_X_FORWARDED_PROTO'] ?? '' === 'https'
Nginx + PHP-FPM 下如何让 $_SERVER['HTTPS'] 正确生效
Nginx 不像 Apache 那样自动设置 HTTPS 环境变量,它需要显式通过 fastcgi_param 传递。漏掉这步,PHP 就永远不知道当前请求走的是 HTTPS。
典型错误:Nginx 配置了 listen 443 ssl,证书也正常,但 PHP 中 $_SERVER['HTTPS'] 仍是空值。
立即学习“PHP免费学习笔记(深入)”;
- 在
server { ... }块的location ~ \.php$内,必须包含:fastcgi_param HTTPS on;
- 同时确保已定义其他必要参数,例如:
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_path_info;
- 如果使用了 CDN 或负载均衡,且它们把
https转为http后再发给 Nginx,需配合map指令识别真实协议:map $http_x_forwarded_proto $fastcgi_https { default off; https on; } ... fastcgi_param HTTPS $fastcgi_https;
PHP 代码里怎么安全判断当前是否 HTTPS
别只看 $_SERVER['HTTPS']。这个变量极易被伪造或遗漏,尤其在代理链复杂时。真正可靠的判断要结合多个来源,并按可信度排序。
- 优先检查
$_SERVER['HTTPS']是否严格等于'on'(注意不是1或true) - 其次检查
$_SERVER['HTTP_X_FORWARDED_PROTO']是否为'https',但仅当信任该代理时才启用(比如你自建的 Nginx) - 避免用
$_SERVER['SERVER_PORT'] == 443判断——有些 HTTPS 站点会映射到非标端口,而 HTTP 也可能跑在 443(极少见但可能) - 写成函数复用更安全:
function is_https() { if (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on') { return true; } if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') { return true; } return false; }
Let’s Encrypt 免费证书怎么配进 PHP 环境不翻车
证书本身对 PHP 无直接影响,但配置不当会导致 Apache/Nginx 启动失败,进而整个 PHP 站点不可访问。最常踩的坑是权限和路径。
- 证书文件(
.crt和.key)不能被 web 用户(如www-data)直接读取 —— Apache/Nginx 主进程以 root 启动,但子进程降权后若没权限读私钥,会报错:SSL Library Error: error:0200100D:system library:fopen:Permission denied -
解决方法:用
chown root:www-data+chmod 640私钥文件,确保组可读;证书链文件可设为644 - 不要把证书放在 webroot 下(如
/var/www/html/),否则可能被直接下载 —— 应放在/etc/ssl/或/usr/local/etc/ssl/这类只有管理员能访问的位置 - 更新证书后记得重载服务:
sudo systemctl reload apache2或sudo nginx -s reload,不是 restart
实际部署中最容易被忽略的,是代理环境下 HTTPS 状态没有逐层透传 —— 从 CDN 到 Nginx 再到 PHP-FPM,每层都可能断掉这个信号。一旦漏掉任意一环的 fastcgi_param 或 SetEnvIf,PHP 就只能“瞎猜”当前协议。
