PHP中数据脱敏最可控方式是json_encode前手动unset敏感键或用array_intersect_key白名单过滤;优先SQL字段明确选取;Laravel应通过模型$hidden控制;注意UTF-8编码与null/资源类型处理。
PHP中用json_encode()前手动过滤数组字段
直接删掉不想暴露的键最可控,适合字段少、逻辑明确的场景。不要依赖前端传参或配置化过滤,容易漏或绕过。
- 用
unset()删除敏感键,比如unset($data['password'], $data['token'], $data['created_at']) - 用
array_diff_key()批量排除:array_diff_key($data, array_flip(['password', 'internal_id'])) - 若原始数据来自数据库查询(如PDO),优先在SQL里用
SELECT id, name, email明确列出字段,而非SELECT *
用array_intersect_key()白名单式提取字段
比黑名单更安全,尤其当数据结构可能扩展时。只要维护一个允许返回的键名列表,新增字段默认不输出。
- 定义白名单:
$whitelist = ['id', 'username', 'email', 'avatar_url'] - 提取:
$safe_data = array_intersect_key($data, array_flip($whitelist)) - 注意:
array_intersect_key()会保留原始键顺序,但不会自动处理嵌套数组——深层字段需递归过滤或改用DTO类
Laravel中用toArray()配合$hidden或$casts
模型层控制最省心,但只对Eloquent模型生效。别在控制器里再手动unset(),否则可能重复或冲突。
- 在模型中设
protected $hidden = ['password', 'remember_token'],调用$user->toArray()或json_encode($user)时自动剔除 - 动态隐藏可用
makeHidden(['api_token']),但注意它返回新实例,原对象不变 - 若字段需转换类型(如时间戳转ISO格式),优先用
$casts而非手动处理,避免JSON序列化时类型错乱
API响应中误用json_encode()导致中文乱码或null
不是字段没藏好,而是编码问题让整个JSON失效,前端看到空响应或解析错误。这种情况常被当成“字段没隐藏成功”去排查。
立即学习“PHP免费学习笔记(深入)”;
- 确保PHP文件本身是UTF-8无BOM编码,编辑器里检查一下
- 对含中文的数组,调用
json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES) - 如果某字段值是
null或资源类型(如cURL句柄、MySQLi结果集),json_encode()会输出null或报错,先用is_scalar()或is_null()过滤掉
json_encode()之前是否干净。很多人卡在“明明unset了却还在响应里”,八成是对象属性没转数组、或是用了引用赋值漏删、又或者Laravel模型里$appends又把字段加回来了。 
