本文讲解如何在不依赖 .htaccess 的纯 PHP 路由(如 index.php 入口)中,安全、高效地检测请求路径对应的真实文件是否存在,规避 get_headers() 引发的循环 HTTP 请求与超时警告。核心方案是使用 file_exists() 基于服务器本地路径判断,而非发起外部 HTTP 请求。
本文讲解如何在不依赖 `.htaccess` 的纯 php 路由(如 `index.php` 入口)中,安全、高效地检测请求路径对应的真实文件是否存在,规避 `get_headers()` 引发的循环 http 请求与超时警告。核心方案是使用 `file_exists()` 基于服务器本地路径判断,而非发起外部 http 请求。
在原生 PHP 单入口路由(如 index.php)中,常需实现“优先服务静态资源,其余请求交由框架/逻辑处理”的策略。但若错误地使用 get_headers($url) 检测文件存在性(例如 http://example.com/js/app.js),会导致 PHP 向自身发起同步 HTTP 请求——这不仅显著拖慢响应(每次检查都经历完整 HTTP 生命周期),更可能因重入触发无限递归(如 index.php 处理 /js/app.js 时又调用 get_headers(.../js/app.js),再次命中 index.php),最终抛出 failed to open stream: HTTP request failed 警告。
✅ 正确做法:基于文件系统路径进行本地判断,完全绕过网络层。
1. 将 URL 路径映射为服务器绝对路径
关键在于将浏览器请求的 URI(如 /css/style.css)安全转换为 Web 根目录下的真实文件路径:
// index.php
$request_uri = parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH);
$document_root = $_SERVER['DOCUMENT_ROOT']; // 或自定义根目录,如 __DIR__
$local_path = $document_root . $request_uri;
// 清理路径,防止目录遍历攻击(重要!)
$local_path = realpath($local_path);
if ($local_path === false || strpos($local_path, $document_root) !== 0) {
// 路径非法或超出根目录,拒绝访问
http_response_code(403);
exit('Forbidden');
}2. 使用 file_exists() 安全检测
$unauthorized_extensions = ['php', 'env', 'log', 'ini']; // 示例敏感后缀
if (file_exists($local_path) && is_file($local_path)) {
$ext = strtolower(pathinfo($local_path, PATHINFO_EXTENSION));
if (in_array($ext, $unauthorized_extensions)) {
http_response_code(404);
include '404.php';
exit();
}
// 直接输出静态文件(推荐用 readfile + 正确 header)
$mime_type = get_mime_type($ext) ?: 'application/octet-stream';
header('Content-Type: ' . $mime_type);
header('Content-Length: ' . filesize($local_path));
readfile($local_path);
exit();
}
// 若文件不存在,则继续执行后续路由逻辑(如 MVC 分发)
// ... your router logic here? 补充:get_mime_type() 可简单实现:
立即学习“PHP免费学习笔记(深入)”;
function get_mime_type($ext) { $types = [ 'css' => 'text/css', 'js' => 'application/javascript', 'png' => 'image/png', 'jpg' => 'image/jpeg', 'svg' => 'image/svg+xml', 'woff2' => 'font/woff2' ]; return $types[$ext] ?? null; }
⚠️ 注意事项
- 绝不使用 get_headers() 检查同站资源:这是性能杀手与递归根源;
- 始终校验路径合法性:realpath() + 前缀检查防止 ../ 目录穿越;
- 区分 is_file() 和 is_dir():确保目标是文件而非目录;
- 静态资源建议直接 readfile():比 header("Location: ...") 重定向更高效(减少一次 HTTP 跳转);
- 生产环境应交由 Web 服务器处理静态资源:Nginx/Apache 原生支持,PHP 路由仅负责动态逻辑。
通过本地文件系统判断,你获得了毫秒级响应、零网络开销与绝对可控的安全边界——这才是单入口 PHP 路由中处理静态资源的正确范式。
