如何在 PHP 中动态构建 URL 并安全获取并展示 JSON 数据

本文详解如何通过表单输入动态拼接 url，使用 `file_get_contents()` 请求远程 json 接口，并安全解析与展示返回数据，涵盖参数校验、url 编码、错误处理及安全实践。

在构建会员积分查询类功能时，常见需求是：用户输入忠诚卡号 → 系统将其作为查询参数拼接到后端 API 地址 → 获取并解析返回的 JSON 数据 → 在当前页面直接渲染结果。但原始代码存在多个关键问题：URL 拼接语法错误（混用 PHP 标签）、未校验输入、缺乏 URL 编码、无错误处理，且暴露服务地址风险。

以下是优化后的完整实现方案：

MedPeer自然科学基金

科研申报与成果分析的智能数据引擎

下载

✅ 正确的 PHP 动态 JSON 获取流程

<form action="" method="get">
    <label for="unos">忠诚卡号：</label>
    <input type="text" id="unos" name="card" value="<?php echo isset($_GET['card']) ? htmlspecialchars($_GET['card']) : ''; ?>" required><br><br>
    <input type="submit" name="submit" value="查询积分">
</form>

<?php
// 1. 检查表单是否提交且 card 参数存在
if (isset($_GET['card']) && !empty(trim($_GET['card']))) {
    $card = trim($_GET['card']);

    // 2. 构建安全 URL：使用 rawurlencode() 处理特殊字符（如空格、中文、符号）
    $api_base_url = 'https://api.yourdomain.com/cardcheck/testAlsLoyalty.php'; // ✅ 替换为实际 HTTPS 域名
    $url = $api_base_url . '?card=' . rawurlencode($card);

    // 3. 发起 HTTP 请求（推荐使用 cURL 替代 file_get_contents 以更好控制超时和错误）
    $json = @file_get_contents($url, false, stream_context_create([
        'http' => ['timeout' => 10, 'user_agent' => 'PHP-Loyalty-Client/1.0']
    ]));

    // 4. 检查请求是否成功
    if ($json === false) {
        echo '<p class="error">❌ 请求失败：无法连接到服务器，请检查网络或稍后重试。</p>';
    } else {
        // 5. 解析 JSON 并验证结构
        $data = json_decode($json, false);
        if (json_last_error() !== JSON_ERROR_NONE) {
            echo '<p class="error">❌ 数据格式错误：返回内容不是有效 JSON。</p>';
        } elseif (!isset($data->user, $data->card, $data->bodova)) {
            echo '<p class="error">❌ 数据不完整：API 返回缺少必要字段。</p>';
        } else {
            // 6. 安全输出（防止 XSS）——对每个字段使用 htmlspecialchars()
            echo '<div class="result">';
            echo '<h3>✅ 查询结果</h3>';
            echo '<p><strong>用户：</strong>' . htmlspecialchars($data->user) . '</p>';
            echo '<p><strong>卡号：</strong>' . htmlspecialchars($data->card) . '</p>';
            echo '<p><strong>状态：</strong>' . htmlspecialchars($data->rezultat ?? '未知') . '</p>';
            echo '<p><strong>累计积分：</strong>' . (int)($data->bodova ?? 0) . '</p>';
            echo '<p><strong>可用积分：</strong>' . (int)($data->raspolozivo ?? 0) . '</p>';
            echo '</div>';
        }
    }
} else {
    // 7. 初始状态或空输入提示
    echo '<p class="hint">请输入忠诚卡号并点击“查询积分”开始查询。</p>';
}
?>

⚠️ 关键注意事项

• 永远不要硬编码 IP 或内网地址：如原示例中的 SERVER_URL_HERE，应使用受信域名（如 https://api.example.com），并启用 HTTPS。
• 必须进行 URL 编码：rawurlencode() 是强制要求，否则含空格、&、/ 等字符的卡号会导致请求截断或 400 错误。
• 防御性编程不可少：
  • 使用 isset() + !empty() 双重校验输入；
  • 用 @ 抑制 file_get_contents() 警告（或改用 cURL 主动捕获错误）；
  • 检查 json_decode() 是否成功（json_last_error()）；
  • 对所有输出字段调用 htmlspecialchars() 防止 XSS 攻击。
• 生产环境建议升级：
  file_get_contents() 不支持连接池和细粒度超时控制；推荐改用 cURL 或现代 HTTP 客户端（如 Guzzle），并增加重试机制与日志记录。

通过以上实现，用户可在不跳转页面的前提下，安全、稳定、友好地完成动态 JSON 数据拉取与展示，兼顾功能性、健壮性与安全性。