正确提取路径应使用$_server['request_uri']配合parse_url($uri, php_url_path),注意nginx需配置try_files,正则匹配须用1+避免贪婪,路由文件必须require_once确保报错中断,get参数宜用http_build_query($_get)安全透传。/ ↩
PHP怎样用$_SERVER['REQUEST_URI']提取路径
路由的第一步不是写规则,是准确拿到用户真正访问的路径。很多人直接用$_SERVER['PHP_SELF']或$_SERVER['SCRIPT_NAME'],结果在子目录部署时总多出/index.php或重复前缀,导致匹配失败。
正确做法是用$_SERVER['REQUEST_URI'],它返回浏览器发送的原始路径(如/user/123?tab=profile),再用parse_url()剥离查询参数:
$uri = parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH);
注意两点:一是parse_url()必须指定PHP_URL_PATH,否则可能返回带?的混杂字符串;二是Nginx下若没配try_files,PHP可能收不到真实URI,Apache则相对稳定。
怎么写正则路由匹配避免贪婪陷阱
用preg_match()做路径匹配时,最常见错误是写/user/(.*)——它会吞掉斜杠,把/user/123/edit整个塞进第一个捕获组,后续逻辑全乱。
立即学习“PHP免费学习笔记(深入)”;
实际应限制非斜杠字符:/user/([^/]+),需要多个段就逐段拆解:
-
/user/([^/]+)/edit→ 匹配编辑页,$matches[1]是ID -
/api/v(\d+)/posts/(\d+)→ 同时提取版本和文章ID - 所有正则开头加
^、结尾加$,防止部分匹配(比如/users误中/user/123)
别忘了preg_match()第三个参数是引用传入的数组,漏写会导致$matches为空。
为什么不能直接include路由文件而要用require_once
简单路由常把不同路径映射到对应PHP文件,比如/blog → blog.php。这时如果用include 'blog.php',当文件不存在时只报Warning,脚本继续执行,最后输出空白页,问题极难定位。
必须用require_once,原因有三:
- 文件缺失时抛
Fatal error,立刻暴露问题 -
once避免同一文件被多次引入(比如路由规则重叠时) - PHP 8.0+ 对
include未找到文件的警告默认静默,更难调试
另外,路径拼接务必用__DIR__ . '/controllers/' . $filename,别用相对路径,否则在CLI或深层嵌套调用时失效。
GET参数怎么安全透传给目标脚本
路由解析完路径,原URL里的?id=5&sort=desc不能丢,但也不能直接拼回$_SERVER['QUERY_STRING']——它可能含恶意字符或编码混乱。
推荐做法:用$_GET重建查询串:
$query = http_build_query($_GET);
再通过$_SERVER['QUERY_STRING']或全局变量注入目标脚本。关键点在于:http_build_query()自动处理空格、中文、特殊符号的编码,比手拼urlencode()可靠得多;且它跳过null和空字符串值,避免生成&key=这种无效片段。
如果目标脚本依赖$_SERVER['QUERY_STRING'],得在include前手动覆盖:$_SERVER['QUERY_STRING'] = $query;,否则它还是原始值。
路由真正的麻烦不在匹配,而在路径标准化和环境适配——Nginx的fastcgi_split_path_info、Apache的.htaccess重写、CLI模式下的$_SERVER缺失,每个都可能让$_SERVER['REQUEST_URI']变成不可靠源头。先确认你的Web服务器怎么传URI,比急着写正则重要得多。
