PHP如何处理JSON数据？使用json_encode和json_decode解析

PHP处理JSON依赖json_encode()和json_decode()函数，前者将PHP数组或对象转为JSON字符串，后者将JSON字符串解析为PHP数据。使用时需注意编码必须为UTF-8、数组键的类型影响输出结构、对象私有属性不被序列化、避免循环引用及资源类型无法编码等问题。推荐始终检查json_last_error()，合理使用JSON_PRETTY_PRINT和JSON_UNESCAPED_UNICODE选项，对复杂对象实现JsonSerializable接口以控制序列化内容。接收外部JSON时，应验证格式有效性，结合JSON Schema进行结构校验，清洗数据并防范安全风险如XSS或DoS攻击。开发中可借助Guzzle等HTTP库简化JSON请求处理，或利用Laravel、Symfony等框架的内置JSON支持提升效率。

PHP处理JSON数据主要依赖其内置的

json_encode()

json_decode()

json_encode()

json_decode()

解决方案

在我看来，掌握

json_encode

json_decode

json_encode()

当你需要将PHP中的数据发送到前端JavaScript、另一个API服务，或者写入一个JSON文件时，

json_encode()

立即学习“PHP免费学习笔记（深入）”；

<?php
$data = [
    'name' => '张三',
    'age' => 30,
    'isStudent' => false,
    'courses' => ['PHP', 'JavaScript', 'SQL'],
    'address' => (object)[ // 也可以直接定义为对象
        'city' => '北京',
        'zip' => '100000'
    ]
];

// 基本转换
$jsonString = json_encode($data);
echo "基本JSON字符串:\n" . $jsonString . "\n\n";

// 加入选项，例如：美化输出和不转义Unicode字符
$prettyJsonString = json_encode($data, JSON_PRETTY_PRINT | JSON_UNESCAPED_UNICODE);
echo "美化且不转义的JSON字符串:\n" . $prettyJsonString . "\n\n";

// 错误检查（很重要！）
if (json_last_error() !== JSON_ERROR_NONE) {
    echo "json_encode 错误: " . json_last_error_msg() . "\n";
}
?>

这里，

JSON_PRETTY_PRINT

JSON_UNESCAPED_UNICODE

\uXXXX

json_decode()

当你的PHP应用接收到一个JSON字符串（比如从API响应、POST请求体或配置文件中），你需要用

json_decode()

<?php
$jsonStringFromApi = '{"name":"李四","age":25,"skills":["Python","Vue"],"isActive":true}';

// 默认转换为 stdClass 对象
$objectData = json_decode($jsonStringFromApi);
echo "解码为对象:\n";
var_dump($objectData);
echo "\n";
echo "访问属性: " . $objectData->name . ", 技能: " . $objectData->skills[0] . "\n\n";


// 转换为关联数组 (第二个参数设为 true)
$arrayData = json_decode($jsonStringFromApi, true);
echo "解码为关联数组:\n";
var_dump($arrayData);
echo "\n";
echo "访问元素: " . $arrayData['name'] . ", 技能: " . $arrayData['skills'][0] . "\n\n";

// 错误检查
$invalidJson = '{"name":"王五","age":}'; // 这是一个无效的JSON
$invalidDecode = json_decode($invalidJson);
if (json_last_error() !== JSON_ERROR_NONE) {
    echo "json_decode 错误: " . json_last_error_msg() . "\n";
}
?>

我个人更倾向于使用

json_decode($jsonString, true)

PHP中将复杂数据结构转换为JSON时有哪些常见陷阱和最佳实践？

在实际开发中，我发现将PHP的复杂数据结构转换为JSON并非总是那么一帆风顺，总会遇到一些让人头疼的小问题。这里我总结了一些常见的陷阱和一些经过实践检验的最佳实践。

常见陷阱：

1. 非UTF-8编码的字符： 这是最常见的问题之一。如果你的PHP字符串包含非UTF-8编码的字符，

   json_encode()

   登录后复制
   会直接失败并返回

   null

   登录后复制
   。很多时候，这发生在从旧系统或不同编码的数据库中读取数据时。
   • 解决方案： 确保所有待编码的字符串都已经是UTF-8编码。可以使用

     mb_convert_encoding($string, 'UTF-8', '原编码')

     登录后复制
     进行转换。
2. 关联数组的键不是字符串： 虽然PHP允许数组的键是整数或字符串，但JSON对象要求键必须是字符串。如果PHP数组的键是整数，

   json_encode()

   登录后复制
   会将其视为一个JSON数组（索引数组），而不是JSON对象。这在你期望得到一个JSON对象时可能会导致意外结果。
   • 示例：

     [0 => 'a', 1 => 'b']

     登录后复制
     会变成

     ['a', 'b']

     登录后复制
     (JSON array)，而不是

     {"0": "a", "1": "b"}

     登录后复制
     (JSON object)。如果你真的需要数字键作为字符串，你需要手动转换。
3. 对象的私有/保护属性： 默认情况下，

   json_encode()

   登录后复制
   只会序列化对象的公共属性。如果你有一个类，并且它的关键数据存储在

   protected

   登录后复制
   或

   private

   登录后复制
   属性中，这些数据将不会出现在最终的JSON字符串中。
   • 解决方案： 实现

     JsonSerializable

     登录后复制
     接口，或者提供公共的getter方法。
4. 循环引用： 当你的PHP对象或数组结构中存在循环引用（A引用B，B又引用A），

   json_encode()

   登录后复制
   会陷入无限循环，最终导致内存溢出或脚本执行超时。PHP的JSON扩展目前没有内置的循环引用检测机制。
   • 解决方案： 在序列化前手动检测并打破循环，或者在设计数据结构时避免循环引用。对于ORM返回的复杂实体关系，这尤其需要注意。
5. 资源类型或不可序列化的数据：

   json_encode()

   登录后复制
   无法处理资源类型（如数据库连接、文件句柄）或某些特殊的PHP类型（如

   Closure

   登录后复制
   ）。遇到这些，它也会失败。
   • 解决方案： 在编码前移除或转换这些不可序列化的部分。

最佳实践：

1. 始终进行错误检查： 编码或解码后，务必使用

   json_last_error()

   登录后复制
   和

   json_last_error_msg()

   登录后复制
   来检查是否有错误发生。这能帮助你快速定位问题，而不是收到一个

   null

   登录后复制
   结果后一头雾水。

2. 使用

   JSON_UNESCAPED_UNICODE

   登录后复制
   和

   JSON_PRETTY_PRINT

   登录后复制
   ： 在开发和调试阶段，这两个选项能极大地提升JSON的可读性，尤其是在处理包含非ASCII字符的数据时。生产环境可以根据性能需求决定是否保留

   JSON_PRETTY_PRINT

   登录后复制
   。

3. 实现

   JsonSerializable

   登录后复制
   接口： 对于自定义的PHP类，如果需要精细控制哪些属性应该被序列化到JSON中，或者需要对属性进行转换，实现

   JsonSerializable

   登录后复制
   接口的

   jsonSerialize()

   登录后复制
   方法是最佳选择。

   class User implements JsonSerializable {
       private $id;
       public $name;
       protected $passwordHash; // 不希望被序列化
   
       public function __construct($id, $name, $passwordHash) {
           $this->id = $id;
           $this->name = $name;
           $this->passwordHash = $passwordHash;
       }
   
       public function jsonSerialize(): mixed {
           // 只暴露公共属性和经过处理的私有属性
           return [
               'id' => $this->id,
               'username' => $this->name, // 转换为 username 键
               // 'password_hash' => $this->passwordHash // 不暴露密码哈希
           ];
       }
   }
   
   $user = new User(1, 'Alice', 'hashed_password_123');
   echo json_encode($user, JSON_PRETTY_PRINT);
   // 输出将只包含 id 和 username

   登录后复制

4. 数据清洗与验证： 在编码之前，对数据进行一次清洗和验证，确保所有的数据类型和值都符合预期，可以避免很多不必要的错误。

   

   动态WEB网站中的PHP和MySQL：直观的QuickPro指南第2版

   动态WEB网站中的PHP和MySQL详细反映实际程序的需求，仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法，让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能，对常用的、强大的包

   508

   查看详情

5. 性能考量： 对于非常大的数据集，

   json_encode()

   登录后复制
   可能会消耗较多的内存和CPU。在极端情况下，可以考虑分块处理或使用更专业的流式JSON解析器（尽管PHP内置函数对于大多数情况已经足够快）。

如何在接收到外部JSON数据时，确保其安全性和有效性？

接收外部JSON数据，尤其是在处理API请求或用户上传的内容时，安全性与有效性是必须优先考虑的。我曾见过一些系统因为对传入JSON缺乏严格校验而导致各种问题，从数据格式错误到更严重的安全漏洞。

确保有效性：

1. 检查

   json_decode()

   登录后复制
   的返回值和错误码： 这是最基本也是最重要的一步。如果

   json_decode()

   登录后复制
   返回

   null

   登录后复制
   ，并且

   json_last_error()

   登录后复制
   不是

   JSON_ERROR_NONE

   登录后复制
   ，那么说明传入的JSON字符串是无效的。

   $inputJson = file_get_contents('php://input'); // 假设从请求体获取
   $data = json_decode($inputJson, true);
   
   if (json_last_error() !== JSON_ERROR_NONE) {
       // JSON格式错误，可能是空字符串，或者格式不规范
       http_response_code(400); // Bad Request
       echo json_encode(['error' => 'Invalid JSON format: ' . json_last_error_msg()]);
       exit;
   }
   // 此时 $data 已经是一个有效的PHP数组或对象

   登录后复制

2. 进行结构和类型验证： 即使JSON格式本身是有效的，其内部的数据结构和每个字段的类型也可能不符合你的预期。

   • 手动检查： 对关键字段使用

     isset()

     登录后复制
     、

     is_array()

     登录后复制
     、

     is_string()

     登录后复制
     、

     is_numeric()

     登录后复制
     等函数进行检查。

     if (!isset($data['userId']) || !is_numeric($data['userId'])) {
         // userId 字段缺失或类型不正确
         http_response_code(400);
         echo json_encode(['error' => 'Missing or invalid userId']);
         exit;
     }
     // ... 对其他字段进行类似检查

     登录后复制

   • 使用JSON Schema验证库： 对于复杂的JSON结构，手动检查会变得非常繁琐且容易出错。推荐使用专门的JSON Schema验证库，如

     justinrainbow/json-schema

     登录后复制
     。你定义一个JSON Schema来描述期望的数据结构、字段类型、必填项、枚举值等，然后用库来验证传入的JSON数据。这能极大地提高验证的严谨性和开发效率。

     // 示例：使用 json-schema 库
     // composer require justinrainbow/json-schema
     use JsonSchema\Validator;
     
     $schema = json_decode('{
         "type": "object",
         "properties": {
             "name": {"type": "string", "minLength": 1},
             "age": {"type": "integer", "minimum": 0},
             "email": {"type": "string", "format": "email"}
         },
         "required": ["name", "age", "email"]
     }');
     
     $validator = new Validator();
     $validator->validate($data, $schema);
     
     if (!$validator->isValid()) {
         http_response_code(400);
         $errors = [];
         foreach ($validator->getErrors() as $error) {
             $errors[] = sprintf("[%s] %s", $error['property'], $error['message']);
         }
         echo json_encode(['error' => 'Validation failed', 'details' => $errors]);
         exit;
     }
     // 数据通过了 schema 验证

     登录后复制

3. 数据净化（Sanitization）： 即使数据通过了验证，你也不能完全信任它。在将JSON中的数据用于数据库查询、HTML输出或文件系统操作之前，必须进行适当的净化。

   • 数据库： 使用预处理语句（PDO或MySQLi的

     prepare()

     登录后复制
     ）来插入或更新数据，永远不要直接拼接SQL查询字符串。
   • HTML输出： 使用

     htmlspecialchars()

     登录后复制
     或

     htmlentities()

     登录后复制
     来转义任何可能包含HTML标签或特殊字符的字符串，以防止XSS攻击。
   • 文件系统： 如果JSON数据中的某个值被用来构建文件路径或文件名，务必进行严格的白名单验证，防止路径遍历攻击。

确保安全性：

1. 限制输入大小： 恶意用户可能会发送一个巨大的JSON字符串来尝试耗尽你的服务器内存或CPU资源（拒绝服务攻击）。在读取请求体时，可以设置最大允许的输入大小。
   • 在Nginx/Apache配置中设置

     client_max_body_size

     登录后复制
     或

     LimitRequestBody

     登录后复制
     。
   • 在PHP中，通过

     php.ini

     登录后复制
     的

     post_max_size

     登录后复制
     和

     upload_max_filesize

     登录后复制
     进行限制（虽然主要针对文件上传，但也影响POST体）。
2. 警惕深度嵌套： 过于深层嵌套的JSON结构也可能导致解析器耗尽内存或栈溢出。虽然PHP的

   json_decode

   登录后复制
   对深度有限制（通常是512），但仍需注意。
3. 避免任意代码执行： JSON本身是数据格式，不包含可执行代码。但如果你的应用逻辑将JSON中的某个字段值未经严格验证就直接当作代码（例如，

   eval()

   登录后复制
   函数或动态函数调用），那么就可能引入安全漏洞。这是非常危险的做法，应该严格避免。
4. 访问控制： 确保只有经过授权的用户才能发送或修改敏感的JSON数据。这通常通过API密钥、OAuth令牌或会话管理来实现。

除了基本的编码和解码，PHP在处理JSON时还有哪些高级功能或相关库可以提升开发效率？

仅仅停留在

json_encode

json_decode

1. JsonSerializable

   登录后复制
   接口的深度应用： 前面已经提到了

   JsonSerializable

   登录后复制
   接口，它不仅仅是用来控制公共属性的。我发现它在构建复杂对象图并需要将其序列化为JSON时特别有用。你可以利用它来：
   • 数据转换： 在序列化时将内部数据格式转换为外部所需的JSON格式，例如将一个

     DateTime

     登录后复制
     对象转换为ISO 8601格式的字符串。
   • 数据过滤： 根据不同的上下文（例如，管理员视图 vs. 普通用户视图）动态地决定哪些数据应该被序列化。
   • 隐藏敏感信息： 确保像密码哈希、API密钥这类敏感数据绝不会被意外地序列化到JSON中。

2. stdClass

   登录后复制
   与关联数组的选择与权衡：

   json_decode

   登录后复制
   默认返回

   stdClass

   登录后复制
   对象，传入

   true

   登录后复制
   则返回关联数组。两者各有优劣：

   • stdClass

     登录后复制
     (对象): 访问属性通常更直观（

     $obj->prop

     登录后复制
     ），尤其是在数据结构固定且清晰时。某些IDE的自动补全功能对对象更友好。
   • 关联数组: 访问元素更灵活（

     $arr['prop']

     登录后复制
     ），尤其是在键名可能动态变化或需要遍历所有键值时。在处理不确定结构或需要大量数组操作（如

     array_map

     登录后复制
     、

     array_filter

     登录后复制
     ）时，数组可能更方便。 我个人在处理接收到的外部JSON时，更倾向于先解码为关联数组，因为这样在后续的数据处理（如循环、条件判断）中，感觉操作起来更“原生”一些。

3. JSON Schema验证库： 前面也提到了

   justinrainbow/json-schema

   登录后复制
   ，这真的是一个非常强大的工具。当你与外部API打交道，或者构建自己的API时，定义一个清晰的JSON Schema，并用这个库来验证传入和传出的数据，可以大大减少因数据格式不匹配而导致的bug。它强制你思考数据的结构和约束，从而提升代码的健壮性。

4. HTTP客户端库的JSON集成： 现代的PHP HTTP客户端库，如Guzzle或Symfony HttpClient，通常都内置了对JSON的良好支持。

   • 发送JSON请求： 你可以直接传递一个PHP数组或对象，客户端会自动将其

     json_encode

     登录后复制
     并设置正确的

     Content-Type

     登录后复制
     头（

     application/json

     登录后复制
     ）。

     // Guzzle 示例
     $client = new GuzzleHttp\Client();
     $response = $client->post('https://api.example.com/data', [
         'json' => ['key' => 'value', 'id' => 123] // Guzzle会自动编码并设置Content-Type
     ]);

     登录后复制
   • 接收JSON响应： 它们也通常提供方便的方法来直接获取已解码的JSON响应，而无需手动调用

     json_decode

     登录后复制
     。

     $data = $response->json(); // Guzzle会自动解码
     // 或者 Symfony HttpClient
     $data = $response->toArray();

     登录后复制

     这些库极大地简化了与JSON API的交互，让你能更专注于业务逻辑，而不是底层的数据格式转换。

5. 框架层面的JSON处理抽象： 主流的PHP框架（如Laravel、Symfony）在处理JSON方面做得非常出色。

   • 请求体解析： 它们通常会自动检测请求的

     Content-Type

     登录后复制
     头，如果是

     application/json

     登录后复制
     ，就会自动将请求体解析为PHP数组或对象，并使其可以通过请求对象方便地访问。

     // Laravel 示例
     public function store(Request $request)
     {
         $name = $request->input('name'); // 如果是JSON，会自动从JSON体中获取
         // ...
     }

     登录后复制
   • JSON响应： 框架也提供了方便的方法来返回JSON响应，通常会自动处理

     json_encode

     登录后复制
     和设置响应头。

     // Laravel 示例
     return response()->json(['status' => 'success', 'data' => $result]);
     // Symfony 示例
     return new JsonResponse(['status' => 'success', 'data' => $result]);

     登录后复制

     这些抽象层使得在框架中处理JSON变得非常流畅和自然，大大提升了开发效率。

总的来说，虽然

json_encode

json_decode

JsonSerializable

以上就是PHP如何处理JSON数据？使用json_encode和json_decode解析的详细内容，更多请关注php中文网其它相关文章！