推荐使用正则/^1[3-9]\d{9}$/验证中国大陆手机号,需先trim并清除所有空白符,兼容+86前缀,避免用数值函数校验。
PHP 用 preg_match 验证中国大陆手机号是否合法
直接用正则匹配是最常用、最可控的方式。中国大陆手机号目前以 13–19 开头(不含 14 中的某些号段,但正则层面可先宽泛覆盖),共 11 位数字,且第二位有明确限制(如 13[0-9]、15[0-3,5-9]、17[0-8]、18[0-9]、19[0-3,5-9])。推荐使用以下正则:
if (preg_match('/^1[3-9]\d{9}$/', $phone)) {
// 合法
}
注意:^ 和 $ 必须加上,否则 "abc13812345678def" 这类字符串也会被误判为合法。
- 不要用
strlen($phone) === 11 && is_numeric($phone)—— 它无法排除带符号、空格或科学计数法(如"1e10")的非法输入 - 避免用过时号段判断(如排除
144、147),因为工信部已重新分配部分14号段用于物联网,实际业务中若严格按历史号段过滤,反而会误拒真实用户 - 正则中
\d比[0-9]更安全,因后者在某些 PCRE 版本或 locale 下可能匹配非 ASCII 数字字符
验证前必须做 trim 和类型归一化
用户输入常含首尾空格、全角空格( )、制表符甚至换行符,trim() 不能处理全角空格,需额外清理:
$phone = str_replace([' ', "\t", "\n", "\r"], '', trim($phone));
$phone = preg_replace('/\s+/', '', $phone); // 清除所有空白符
常见错误是只调用 trim() 就直接进正则,结果 "138 1234 5678"(含全角空格)被当成非法;或者前端传了字符串 "13812345678.0",is_numeric 返回 true,但显然不是手机号。
立即学习“PHP免费学习笔记(深入)”;
- 永远假设输入是不可信的字符串,不依赖前端传来的类型
- 如果从数据库读取或 API 接口收到的是整型(如
13812345678),需先转成字符串再验证,否则13812345678转字符串后仍是"13812345678",没问题;但138123456789(12 位)转字符串后仍是 12 位,正则会自然失败
别在服务端省略国际区号校验逻辑
如果你的系统支持海外用户(哪怕只是预留字段),就不要硬写死 ^1[3-9]\d{9}$。更稳妥的做法是先识别是否有 +86 或 86 前缀,再剥离后验证剩余部分:
$phone = preg_replace('/^\+?86[-\s]*/', '', $phone);
if (preg_match('/^1[3-9]\d{9}$/', $phone)) { ... }
否则用户填 +86 138 1234 5678 就直接失败,而这类格式恰恰是 iOS 键盘和许多通讯录导出的默认形式。
- 别用
substr($phone, 0, 3) === '+86'判断——没考虑空格、连字符、全角符号 - 也不建议直接删所有非数字字符(
preg_replace('/\D/', '', $phone)),因为会把+86138...变成86138...(12 位),导致后续验证失败 - 如果业务确定只服务中国大陆用户,且所有入口都由你控制(如小程序 + Web 表单),那可以简化;但只要存在任何第三方数据导入、客服后台录入等场景,就必须兼容常见变体
为什么不用 filter_var($phone, FILTER_VALIDATE_INT) 或 is_int()
这两个函数完全不适用。手机号本质是标识符,不是数值:它不允许前导零(但 0138... 是非法的)、不能参与算术运算、长度固定为字符串语义。用数值校验会导致三类问题:
-
is_int("13812345678")返回false(字符串不是 int 类型) -
filter_var("13812345678", FILTER_VALIDATE_INT)虽然返回数字,但会接受"138123456780"(12 位)甚至"13812345678abc"(截断后仍返回数字) - 32 位系统下,
13812345678超出PHP_INT_MAX,强制转整型会变成负数或科学计数法字符串,彻底不可控
真正要校验的从来不是“它是不是一个整数”,而是“它是否符合手机号的字符串模式”。这点一旦混淆,后续所有逻辑都会偏离。
