正确接收JSON需读取php://input并json_decode;CORS需设全允许头并拦截OPTIONS;密码用password_hash/verify;PDO操作须try-catch并统一响应格式。
用 $_POST 和 json_decode() 正确接收前端 JSON 数据
很多 PHP 接口收不到前端发来的 JSON,不是因为跨域或路由问题,而是没意识到 $_POST 默认不解析原始请求体。前端用 fetch 或 axios 发 Content-Type: application/json 时,PHP 不会自动填充 $_POST 数组。
正确做法是读取 php://input 并手动解码:
if ($_SERVER['CONTENT_TYPE'] === 'application/json') {
$raw = file_get_contents('php://input');
$data = json_decode($raw, true);
if (json_last_error() !== JSON_ERROR_NONE) {
http_response_code(400);
echo json_encode(['error' => 'Invalid JSON']);
exit;
}
}- 别直接依赖
$_POST判断数据是否存在,它对纯 JSON 请求始终为空 -
json_decode($raw, true)的第二个参数设为true才返回关联数组,否则是对象,后续取值方式不同 - 务必检查
json_last_error(),前端偶尔发错格式(如尾逗号、单引号)会导致$data为null
用 header() 设置 CORS 但避开预检失败
开发阶段本地调前端常卡在 OPTIONS 预检,不是没加 Access-Control-Allow-Origin,而是漏了其他配套头或方法限制太死。
最小可用配置(仅限开发环境):
立即学习“PHP免费学习笔记(深入)”;
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
exit(0);
}-
Access-Control-Allow-Credentials: true时,Access-Control-Allow-Origin不能为*,需明确写域名(如http://localhost:3000) - 前端带
Authorization或自定义 header 时,Access-Control-Allow-Headers必须显式列出,不能只写*(部分旧版浏览器不支持) - 必须拦截
OPTIONS请求并exit,否则后续逻辑可能报错或返回非 200 响应,导致浏览器拒绝实际请求
用 password_hash() 和 password_verify() 处理登录密码
别再用 md5() 或 sha1() 存密码——哪怕加盐也不安全。PHP 内置的 password_hash() 自动处理盐值、算法迭代和格式封装。
注册时存哈希:
$hash = password_hash($password, PASSWORD_ARGON2ID, [
'memory_cost' => 65536,
'time_cost' => 4,
'threads' => 3
]);登录时验证:
if (password_verify($input_password, $stored_hash)) {
// 登录成功
} else {
// 密码错误
}- 优先选
PASSWORD_ARGON2ID(PHP 7.2+),比默认的BLOWFISH更抗 GPU 暴力破解 - 参数里的
memory_cost等值要根据服务器内存调整,设太高会超时;开发机建议先用PASSWORD_DEFAULT简单起步 -
password_verify()能识别哈希字符串里内置的算法和参数,无需额外存盐或算法标识
用 try...catch 包裹 PDO 操作并统一返回结构
数据库异常直接暴露给前端不仅不安全,还会破坏接口约定格式。得把 PDOException 拦下来,转成标准 JSON 响应。
try {
$pdo = new PDO($dsn, $user, $pass, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
]);
$stmt = $pdo->prepare('SELECT * FROM users WHERE id = ?');
$stmt->execute([$id]);
$user = $stmt->fetch();
echo json_encode(['code' => 0, 'data' => $user]);
} catch (PDOException $e) {
error_log('DB Error: ' . $e->getMessage());
http_response_code(500);
echo json_encode(['code' => 500, 'msg' => 'Server error']);
}-
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION是关键,否则execute()失败只返回false,没法用catch捕获 - 别在
catch里返回$e->getMessage(),里面可能含表名、字段名甚至 SQL 片段 - 所有接口响应尽量保持相同顶层结构(如都带
code和msg),前端不用每处都写不同解析逻辑
实际部署时,PASSWORD_ARGON2ID 可能因系统缺少 libsodium 而退化,password_needs_rehash() 得定期检查;CORS 头在 Nginx 层加有时比 PHP 里更稳;PDO 连接最好用连接池或复用,而不是每次请求都新建。
