php接收ajax post数据需根据content-type选择$_post或php://input;返回json必须设header并避免额外输出;跨域需配置cors头;静默失败多因输出时机、session或waf拦截。
PHP后端怎么接收 AJAX 的 POST 数据
前端用 fetch 或 jQuery.ajax 发 POST 请求,PHP 默认收不到 $_POST 里的字段——因为很多 AJAX 默认发的是 Content-Type: application/json,而 PHP 只自动解析 application/x-www-form-urlencoded 和 multipart/form-data 这两类。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 如果前端用
JSON.stringify({name: "a", age: 12})发送,PHP 必须手动读取原始 body:$raw = file_get_contents('php://input');,再json_decode($raw, true) - 如果前端加了
headers: {'Content-Type': 'application/x-www-form-urlencoded'}并用new URLSearchParams(data)构造体,那$_POST就能直接用 - 别依赖
$_REQUEST——它混了 GET/POST/COOKIE,顺序和覆盖逻辑容易出错,尤其在调试时干扰判断
怎么让 PHP 正确返回 JSON 给前端
只写 echo json_encode($data) 不够。前端 fetch 拿到响应后可能报 Unexpected token 或解析失败,常见原因是没设 Content-Type 或输出了额外字符(比如 BOM、空行、var_dump 遗留)。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 必须在
json_encode前调用header('Content-Type: application/json; charset=utf-8') - 确保没有
echo、print、var_dump等任何输出在json_encode之前,包括文件末尾的空行或 UTF-8 BOM - 加个
exit;或die;在json_encode后,防止后续代码意外输出 - 开发时可先用
json_last_error()检查编码是否失败,比如中文乱码或资源类型不支持
为什么 AJAX 跨域时 PHP 后端要配 CORS 头
浏览器会拦截跨域请求,不是 PHP 拒绝,而是前端根本发不出去(预检 OPTIONS 请求失败,或响应头缺 Access-Control-Allow-Origin)。只改前端 fetch 的 mode 没用。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 简单场景加这三行就够了:
header('Access-Control-Allow-Origin: *');、header('Access-Control-Allow-Methods: POST, GET, OPTIONS');、header('Access-Control-Allow-Headers: Content-Type, X-Requested-With'); - 如果前端带 cookie(
credentials: 'include'),Access-Control-Allow-Origin不能写*,得指定域名,比如https://example.com - 务必在所有可能提前退出的分支(如登录校验失败)前设置这些头,否则 401/403 响应没 CORS 头,前端照样被拦
PHP 处理 AJAX 请求时常见的“静默失败”点
前端显示 loading 一直转,Network 面板里请求状态是 200,但 responseText 是空、或内容是 HTML 错误页、或 JSON 解析报错——问题往往不在逻辑,而在环境或配置。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 检查 PHP 错误是否被屏蔽:确认
display_errors = Off(线上合理),但开发时应开log_errors = On并查error_log文件,别只盯着浏览器响应 - 注意 session:AJAX 请求默认也带 session cookie,但如果 PHP
session_start()前有输出(哪怕一个空格),会报headers already sent,导致 JSON 响应损坏 - Apache 的
mod_security或 Nginx 的某些 WAF 规则,可能把 JSON body 当攻击拦截,返回 403 却不提示原因——临时关掉规则验证一下
最麻烦的其实是 header 和 output 的时序问题:只要有一处 echo、一个 BOM、一行多余空格,JSON 就废了,而这种错误在浏览器里几乎不报具体位置。
