php本身不限制短信发送频率,实际限制由第三方短信平台(如阿里云、腾讯云等)在api层实施,常见形式包括qps、日发送量、手机号冷却时间等。
PHP调用短信接口时,频率限制由服务商决定,不是PHP本身控制
PHP 作为后端语言,本身不设短信发送频次上限。真正起作用的是你接入的第三方短信平台(如阿里云、腾讯云、容联云、网易云信等)在 API 层面做的限流策略。常见限制形式包括:每秒请求数(QPS)、每分钟/每小时/每日发送条数、单个手机号触发间隔(如 60 秒内不能重复发送)。
如果你没做任何节流处理,直接在循环里 file_get_contents() 或 curl_exec() 调用短信接口,大概率会收到 429 Too Many Requests 或平台自定义错误码(如阿里云的 isv.BUSINESS_LIMIT_CONTROL)。
如何查看和应对具体平台的频率限制
不同服务商文档中对限流描述位置不一,但关键词基本固定。查文档时重点搜:频率限制、QPS、调用配额、流控规则。
- 阿里云:控制台「短信服务 > 应用管理 > 查看配额」,默认新用户
QPS=5,单日上限1000条(可提工单提升) - 腾讯云:在「短信控制台 > 应用管理 > 基础配置」里看「API 请求频率限制」,默认
QPS=10,单手机号60s冷却 - 容联云:需在「开发者中心 > 应用详情」中确认
sendSms接口的rate_limit配置,部分套餐按月总条数计费,不限 QPS 但超量会失败
注意:有些平台对「测试模板」和「正式模板」限流策略不同,上线前务必用正式环境实测。
立即学习“PHP免费学习笔记(深入)”;
PHP 代码里怎么安全控制调用节奏
不能依赖前端或业务层“自觉慢点发”,必须在 PHP 后端做主动限流。推荐用 sleep() + 计数器最简单有效,尤其适合低并发场景(如后台手动触发验证码)。
示例片段:
// 模拟每秒最多 5 次请求
$last_call_time = $_SESSION['sms_last_call'] ?? 0;
$now = time();
if ($now - $last_call_time < 1) {
sleep(1); // 强制等待满 1 秒
}
$_SESSION['sms_last_call'] = time();
<p>// 然后执行 curl 请求...
更健壮的做法是结合 Redis 做分布式计数(比如用 INCR + EXPIRE 实现滑动窗口),但要注意:Redis 连接失败时降级策略、原子性保障、是否允许少量超发——这些细节比代码本身更容易出问题。
高频场景下容易被忽略的三个坑
批量注册、营销活动、系统告警等场景下,光靠 PHP 层限流远远不够,还得检查:
- 是否误把「模板 ID」写错导致反复重试,触发平台异常限流(错误模板调用也会计入频次)
- 是否没校验手机号格式就直接发请求,结果大量
invalid mobile错误被平台识别为恶意扫描,主动封禁 IP 或 AppKey - 异步任务(如 Laravel 的
dispatch()或 ThinkPHP 的task)如果没设置并发数,可能瞬间涌出几十个进程同时调用接口,QPS直接爆表
真实线上问题往往不是“不知道有限制”,而是“不知道限制在哪一层生效”——网关层、SDK 层、平台侧、甚至运营商通道侧都可能叠加拦截。排查时优先抓包看响应头里的 X-RateLimit-Remaining 或类似字段,比猜更有用。
