必须用 file_get_contents('php://input') 读取 application/json 请求的原始体,因 PHP 不自动解析;需检查 Content-Type、避免重复读、正确使用 json_decode(true) 转数组,并验证解码错误。
PHP 用 file_get_contents('php://input') 读原始 JSON
前端发来的 JSON 数据,如果 Content-Type 是 application/json,PHP 不会自动解析进 $_POST 或 $_REQUEST —— 它压根不处理,直接扔进输入流。这时候必须手动读原始体。
常见错误现象:$_POST 为空、json_decode($_POST) 报错、$_GET 里也找不到数据。
-
file_get_contents('php://input')是唯一可靠方式(注意:不能重复读,且 POST 方法下才有效) - 别用
$HTTP_RAW_POST_DATA—— PHP 5.6+ 已废弃,7.0+ 彻底移除 - 如果用了框架(如 Laravel、ThinkPHP),它们通常封装了这一层,但底层仍是读
php://input - 确保前端没把 JSON 塞进表单字段再提交(比如用
FormData+append('data', JSON.stringify(...))),那样就走$_POST了,但不是纯 JSON 请求
json_decode() 的第二个参数设为 true 才得数组
PHP 默认把 JSON 解成对象(stdClass),而多数人习惯用数组下标访问,不设参数就会踩坑:比如 $data->name 报错说属性不存在,其实是因为你传的是字符串但解成了对象,或反过来。
- 要数组:用
json_decode($raw, true) - 要对象:用
json_decode($raw)(第二个参数默认false) - 解码失败时返回
null,务必检查:if (json_last_error() !== JSON_ERROR_NONE) { /* 处理错误 */ } - 中文字符乱码?不是编码问题,是前端没发 UTF-8,或 JSON 本身含非法 Unicode 转义(如 \u0000),
json_last_error_msg()能定位
Content-Type 不对会导致 php://input 为空
哪怕前端发了 JSON 字符串,如果请求头没带 Content-Type: application/json,有些代理、CDN 或 Nginx 配置会拒绝透传原始体,或者 PHP 某些 SAPI(如 CGI 模式)会忽略它。
立即学习“PHP免费学习笔记(深入)”;
- 用浏览器 DevTools 的 Network → Headers 确认请求头含
Content-Type: application/json - cURL 测试时加:
-H "Content-Type: application/json" -d '{"name":"a"}' - Nginx 下若用了
client_max_body_size限制太小,大 JSON 会被截断,php://input可能只读到一部分 —— 查error_log里有没有 413 错误 - Apache + mod_php 一般没问题;但 FastCGI 模式下,某些旧版 PHP-FPM 配置可能丢原始体,需确认
variables_order和enable_post_data_reading = On
别在 $_POST 存在时还硬读 php://input
有些前端用 application/x-www-form-urlencoded 提交 JSON 字符串(比如字段名 payload,值是 {"a":1}),这时 $_POST['payload'] 就是你要的字符串 —— 不该再去读 php://input,否则拿到的是整个表单编码后的原始体(如 payload=%7B%22a%22%3A1%7D),还得 URL 解码再 JSON 解析,多此一举还容易出错。
- 先判断请求类型:
$_SERVER['CONTENT_TYPE'] === 'application/json' - 再决定走哪条路径:JSON 直接读流,表单则从
$_POST取字段 - 混合场景(比如同时有 JSON body 和 query 参数)很常见,
$_GET和php://input可并存,但别混淆来源 - 调试时加一句:
error_log('CT: ' . $_SERVER['CONTENT_TYPE'] . ', INPUT LEN: ' . strlen(file_get_contents('php://input')));
最常被忽略的是:你以为前端发的是 JSON,其实开发者工具里看到的 “Preview” 是浏览器帮你格式化过的,真实请求体可能被中间件改写、被 Axios 默认加了额外字段、甚至被 Chrome 插件注入了 header —— 动手前先抓包看原始 request body 和 headers。
