1. 使用 file_get_contents("php://input") 处理 JSON 负载
当前端使用 fetch API 以 JSON 格式发送数据时,通常会将数据通过 JSON.stringify() 序列化后放入请求体(body)中,并设置 Content-Type 为 application/json。在这种情况下,PHP 无法通过 $_POST 超全局变量直接访问这些数据,因为 $_POST 主要用于解析 application/x-www-form-urlencoded 或 multipart/form-data 类型的数据。
为了获取原始的 JSON 请求体,PHP 提供了一个特殊的输入流 php://input。通过读取这个流,我们可以获取到完整的请求体内容,然后使用 json_decode() 函数将其解析成 PHP 数组或对象。
前端 JavaScript 代码示例 (发送 JSON):
const data = { par1: 'value1', par2: 'value2' };
fetch('/myscript.php', {
method: 'POST',
headers: {
'Content-Type': 'application/json' // 明确声明发送的是 JSON
},
mode: 'same-origin', // 确保同源策略
credentials: 'same-origin', // 发送 Cookies 等凭证
body: JSON.stringify(data) // 将数据序列化为 JSON 字符串
})
.then(response => response.text())
.then(output => {
console.log(output); // 处理服务器响应
})
.catch(error => {
console.error('Fetch error:', error);
});后端 PHP 代码示例 (接收 JSON):
立即学习“PHP免费学习笔记(深入)”;
'Invalid JSON data']);
exit;
}
// 访问数据
$param1 = $inputData['par1'] ?? null;
$param2 = $inputData['par2'] ?? null;
// 进行业务逻辑处理...
$output = "Received: par1 = {$param1}, par2 = {$param2}";
// 返回响应
header('Content-Type: text/plain'); // 根据实际响应类型设置
echo $output;
?>关于 php://input 的并发安全性:
许多开发者可能会担心,如果多个 fetch 请求同时访问 php://input,是否会导致数据冲突。实际上,这种担忧是没有必要的。PHP 服务器在处理每个 HTTP 请求时,都会为该请求创建一个独立的执行环境。这意味着,每一次对 myscript.php 的调用,都会启动一个新的 PHP 脚本实例,该实例拥有自己独立的 php://input 流。因此,不同的并发请求之间不会相互干扰,数据是隔离且安全的。
2. 请求来源验证与 X-Requested-With 头部
在 jQuery 的 $.post() 等 AJAX 方法中,通常会自动添加 X-Requested-With: XMLHttpRequest 头部。这在过去常被用于在服务器端判断请求是否来源于 AJAX。然而,原生 fetch API 默认不会添加此头部。
手动添加 X-Requested-With 头部:
如果您的后端逻辑依赖于此头部进行判断,您可以手动在 fetch 请求中添加它:
前端 JavaScript 代码示例 (添加 X-Requested-With):
const data = { par1: 'value1', par2: 'value2' };
fetch('/myscript.php', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'X-Requested-With': 'XMLHttpRequest' // 手动添加此头部
},
mode: 'same-origin',
credentials: 'same-origin',
body: JSON.stringify(data)
})
.then(response => response.text())
.then(output => {
console.log(output);
})
.catch(error => {
console.error('Fetch error:', error);
});后端 PHP 代码示例 (检查 X-Requested-With):
重要安全提示:
X-Requested-With 头部不应被视为一种可靠的安全机制来防止“黑客攻击”或验证请求来源。恶意用户可以轻易地伪造任何 HTTP 头部,包括 X-Requested-With。真正的安全防护应该依赖于更强大的机制,例如:
- 身份验证 (Authentication):确保请求来自已登录且授权的用户。
- 授权 (Authorization):验证用户是否有权执行特定操作。
- CSRF (Cross-Site Request Forgery) 令牌:防止跨站请求伪造攻击,确保请求是由用户自愿发起的。
- CORS (Cross-Origin Resource Sharing):控制哪些域可以访问您的资源。
3. 使用 URL 编码数据与 $_POST 的替代方案
如果您觉得 file_get_contents("php://input") 结合 json_decode() 看起来比较“非主流”,或者您的数据结构更适合传统的表单提交方式,您可以选择以 application/x-www-form-urlencoded 格式发送数据。在这种情况下,PHP 会自动将数据解析到 $_POST 超全局变量中,就像处理普通 HTML 表单提交一样。
前端 JavaScript 代码示例 (发送 URL 编码数据):
const par1 = 'value1 with spaces';
const par2 = 'value2&symbols';
// 构建 URL 编码字符串
const body = `par1=${encodeURIComponent(par1)}&par2=${encodeURIComponent(par2)}`;
fetch('/myscript.php', {
method: 'POST',
headers: {
'Content-Type': 'application/x-www-form-urlencoded', // 明确声明发送的是 URL 编码数据
'X-Requested-With': 'XMLHttpRequest' // 如果需要,可以继续添加
},
mode: 'same-origin',
credentials: 'same-origin',
body: body // 发送 URL 编码字符串
})
.then(response => response.text())
.then(output => {
console.log(output);
})
.catch(error => {
console.error('Fetch error:', error);
});后端 PHP 代码示例 (接收 URL 编码数据):
'No POST data received']);
exit;
}
// 进行业务逻辑处理...
$output = "Received via _POST: par1 = {$param1}, par2 = {$param2}";
// 返回响应
header('Content-Type: text/plain');
echo $output;
?>选择哪种方式?
- JSON 负载 (php://input):适用于发送复杂、嵌套的数据结构,是现代 RESTful API 的首选。它使得前后端数据格式保持一致,易于处理。
- URL 编码 ($_POST):适用于发送扁平、简单的键值对数据,与传统表单提交兼容。如果您的数据非常简单,或者您希望利用 PHP 自动解析到 $_POST 的便利性,这是一种简单直接的方法。
总结
fetch API 是现代 Web 开发中进行异步请求的强大工具。在 PHP 后端处理 fetch 请求时,您可以根据数据传输的格式选择合适的方法:对于 JSON 格式的数据,使用 file_get_contents("php://input") 并结合 json_decode() 是标准且推荐的做法;对于传统的 URL 编码数据,PHP 会自动将其解析到 $_POST 数组中。
无论选择哪种方法,都应牢记安全是首要考虑因素。避免依赖易于伪造的 HTTP 头部进行安全验证,而应实施全面的身份验证、授权和 CSRF 保护机制,以确保应用程序的健壮性和安全性。理解这些机制将帮助您构建更安全、更高效的 Web 应用程序。
