PHP后端接口需明确请求入口、数据校验、响应格式和错误处理四件事;必须设置JSON响应头、安全获取参数、开启错误显示、加基础防护,否则易出现500/404/空响应。
PHP 后端接口不是“写个文件就能用”,关键在于明确请求入口、数据校验、响应格式和错误处理这四件事。没做对,前端调用会卡在 500、404 或空响应上。
怎么让 PHP 文件直接响应 JSON 请求
接口本质是 HTTP 响应,不是页面渲染。必须显式设置响应头,否则浏览器或前端框架可能解析失败:
- 开头加
header('Content-Type: application/json; charset=utf-8'); - 避免任何输出(包括空格、BOM、
echo前的换行),否则触发Headers already sent错误 - 用
json_encode()封装数据,并检查返回值是否为false(比如中文编码不一致时)
示例最小可行接口(api/user.php):
123, 'name' => '张三']; echo json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES); ?>
GET 和 POST 参数怎么安全获取
不能直接用 $_GET 或 $_POST 原样取值——它们可被篡改,且类型不可控:
立即学习“PHP免费学习笔记(深入)”;
- 用
filter_input()做类型过滤:比如filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT)返回null而非字符串"123" - POST 表单和 JSON Body 是两回事:
file_get_contents('php://input')才能读原始 JSON,再用json_decode()解析 - 别漏掉
trim()和htmlspecialchars()(若后续要输出到 HTML)
为什么接口总返回 500 却没报错信息
默认 PHP 错误被隐藏,尤其线上环境 display_errors = Off。调试阶段必须打开:
- 临时开启:在接口文件开头加
ini_set('display_errors', '1'); error_reporting(E_ALL); - 更稳妥的是查日志:
error_log()写入自定义文件,或看 Web 服务器错误日志(如 Nginx 的error.log) - 常见隐形坑:
include路径错、扩展没启用(如mbstring缺失导致json_encode失败)、MySQL 连接未判断就执行查询
如何避免接口被随意调用
简单接口不加防护,等于把数据库钥匙挂在门把手上:
- 最基础:检查
$_SERVER['REQUEST_METHOD']是否为预期方法(如只允许POST) - 加时间戳 + 签名验证(如用
hash_hmac('sha256', $data, $secret)),比单纯 token 更防重放 - 敏感操作(如删除、支付)必须用
POST或DELETE,禁止用GET带关键参数
真正难的不是写出一个能返回 JSON 的 PHP 文件,而是让每一次请求都落在预期路径里、每一条数据都经过类型和权限校验、每一个异常都有明确日志可追溯——这些细节堆起来,才是接口稳不稳的分水岭。