php api返回json需清空输出缓冲、设header('content-type: application/json; charset=utf-8'),用pdo预处理防注入,统一错误结构{"success":false,"data":[],"message":"..."},分页必做,禁用select *。
PHP中用mysqli或PDO执行查询并返回JSON的常规写法
API接口返回数据必须是纯数据流,不能混入HTML、警告或额外空格。最稳妥的方式是清空输出缓冲、设置正确Header、再输出JSON。
- 务必在
echo json_encode()前调用ob_end_clean()或ob_start()+ob_end_flush(),避免BOM或意外空行导致JSON解析失败 - 必须设置
header('Content-Type: application/json; charset=utf-8'),否则前端fetch().json()可能因MIME类型不匹配而reject - 推荐用
PDO::FETCH_ASSOC获取关联数组,避免PDO::FETCH_BOTH产生重复键名干扰结构
查询出错时不要直接die或print_r,要统一返回错误结构
前端依赖固定字段判断成败,比如{ "success": false, "message": "..." }。裸抛异常或die("SQL error")会让接口不可控且不安全。
- 捕获
PDOException或检查mysqli_error(),但只返回泛化提示(如"数据获取失败"),**绝不暴露表名、字段名、SQL语法细节** - 生产环境关闭
display_errors,错误日志写入文件,用error_log()记录原始异常信息 - 示例响应结构:
{"success":false,"data":[],"message":"用户列表加载失败"},保持data字段始终存在(即使为空数组)
WHERE条件拼接必须用预处理,禁止字符串拼接变量
所有外部输入(GET/POST/路由参数)进SQL前必须绑定参数,否则就是SQL注入高危点。哪怕只是查一个id也不能用"WHERE id = $_GET['id']"。
- 使用
$stmt->bindValue(':id', $_GET['id'], PDO::PARAM_INT),类型明确比bindParam更安全(后者引用变量,易被后续修改影响) - 若需动态列名或表名(极少见),必须白名单校验:
in_array($table, ['users', 'orders']),绝不用filter_var或正则“过滤” - GET参数如
?status=active&limit=20,应分别绑定:status和:limit,且limit需强制(int)转换后再绑定
大结果集要限制数量并考虑分页字段设计
不做限制的SELECT *在用户量上升后必然拖垮API,且前端无法做懒加载。分页不是可选项,是默认配置项。
立即学习“PHP免费学习笔记(深入)”;
- 强制要求客户端传
page和per_page,服务端计算OFFSET,并用SQL_CALC_FOUND_ROWS(MySQL)或子查询(兼容性更好)获取总条数 - 返回结构中加入分页元信息:
"pagination":{"total":127,"page":1,"per_page":20,"pages":7} - 单次查询超过5000行建议改用游标分页(
WHERE id > ? ORDER BY id LIMIT 20),避免OFFSET性能衰减
JSON.parse()直接报错。 
