PHP接收回调需确保公网可达、正确读取原始数据、立即返回200并异步处理,同时校验签名、记录完整请求日志。
PHP用cURL发POST请求并正确接收回调
PHP里模拟POST请求发数据、等对方服务器回调回来,关键不是“怎么发”,而是“怎么让对方能顺利回调你”。很多问题其实出在服务端配置或回调地址不可达,而不是代码本身。
常见错误现象:Connection refused、cURL error 7、回调超时、收不到数据。先确认你的PHP服务能被外网访问(比如对方服务器能 curl -X POST your-domain.com/callback.php 成功)。
- 回调地址必须是公网可访问的域名或IP(本地
127.0.0.1或localhost绝对不行) - 确保Web服务器(Nginx/Apache)没拦截
POST或限制请求体大小(如Nginx的client_max_body_size) - PHP要开启
allow_url_fopen(cURL不依赖它,但有些旧逻辑会检查) - 用
file_get_contents('php://input')读原始数据,别只依赖$_POST——对方可能发的是JSON或非application/x-www-form-urlencoded格式
回调入口脚本必须忽略超时并立即返回响应
对方调用你的回调地址时,通常有严格超时(比如3秒)。如果你在回调里做耗时操作(查库、发邮件、再调第三方API),极易导致对方重试甚至判定失败。
正确做法:收到数据后立刻写日志+返回HTTP 200,把后续处理丢进队列或异步进程。
立即学习“PHP免费学习笔记(深入)”;
- 开头加
ignore_user_abort(true)和set_time_limit(0)防止连接断开中断脚本 - 用
fastcgi_finish_request()(PHP-FPM环境)或ob_end_flush(); flush();主动结束响应 - 示例关键片段:
file_put_contents('/tmp/callback.log', file_get_contents('php://input'), FILE_APPEND); http_response_code(200); header('Content-Type: text/plain'); echo 'ok'; if (function_exists('fastcgi_finish_request')) { fastcgi_finish_request(); } // 后续处理:入库、通知、推送…在这里写
验证回调来源与数据完整性(防伪造)
不能无条件信任所有打到/callback.php的请求。真实场景中必须校验签名或token。
多数支付/网关类服务会在POST body或header里带签名字段(如X-Signature、sign),你需要用约定密钥+参数按规则拼接再哈希比对。
- 检查
$_SERVER['HTTP_X_FORWARDED_FOR']不可靠,优先用$_SERVER['REMOTE_ADDR']+ 白名单IP(如有) - 签名验证失败时,仍要返回200(避免对方反复重试),但记录告警日志
- 若对方支持,要求其在header里传
X-Request-ID,方便你日志追踪同一笔交易的请求链路 - 别直接
json_decode($_POST['data'], true)——先判断Content-Type,再决定用file_get_contents('php://input')还是$_POST
调试阶段必须记录原始请求全量信息
线上出问题时,最怕“不知道对方到底发了什么”。别只记print_r($_POST),那会丢掉header、raw body、编码、换行等关键线索。
- 记录完整header:
getallheaders()(注意CLI下不可用,需适配) - 记录原始body:
file_get_contents('php://input'),且确保没被其他框架/中间件提前读取过 - 记录时间戳、
$_SERVER['REQUEST_TIME_FLOAT']、$_SERVER['REQUEST_METHOD'] - 用
error_log()而非echo写日志,避免干扰HTTP响应体
回调这件事,90%的问题不在PHP语法,而在网络可达性、协议理解偏差、或对“对方怎么发”缺乏验证手段。留好原始请求快照,比写十遍重试逻辑都管用。
