PHP 中使用 cURL 动态传递 JSON 参数变量的完整教程

本文详解如何在 php curl post 请求中安全、灵活地注入动态变量（如金额和地址）到 json 请求体，避免字符串拼接风险，推荐采用 json_decode → 修改对象 → json_encode 的标准实践。

本文详解如何在 php curl post 请求中安全、灵活地注入动态变量（如金额和地址）到 json 请求体，避免字符串拼接风险，推荐采用 json_decode → 修改对象 → json_encode 的标准实践。

在 PHP 中通过 cURL 向远程 API（如 Monero JSON-RPC 服务）发送结构化 JSON 数据时，硬编码参数不仅难以维护，更存在严重安全隐患——直接拼接变量到 JSON 字符串中极易引发语法错误、类型失配或 JSON 注入漏洞（尤其当变量含引号、反斜杠或非 UTF-8 字符时）。正确做法是将 JSON 视为数据结构而非纯文本，利用 PHP 原生的 JSON 编解码能力进行类型安全的操作。

✅ 推荐方案：JSON 对象化修改（安全、可读、健壮）

首先定义待传入的变量，并确保其类型合法：

$PAYMENT_AMOUNT = 5000000; // 注意：建议使用整型表示原子单位（如 Satoshi / piconero），避免浮点精度问题
$ADDRESS = "CvqCDB3EwDzr1MEYxy4rQfzxxuiPdeTRSgtXbgh";

接着构造基础请求结构并动态注入变量：

杰易OA办公自动化系统6.0

基于Intranet/Internet 的Web下的办公自动化系统，采用了当今最先进的PHP技术，是综合大量用户的需求,经过充分的用户论证的基础上开发出来的，独特的即时信息、短信、电子邮件系统、完善的工作流、数据库安全备份等功能使得信息在企业内部传递效率极大提高，信息传递过程中耗费降到最低。办公人员得以从繁杂的日常办公事务处理中解放出来，参与更多的富于思考性和创造性的工作。系统力求突出体系结构简明

下载

// 1. 定义原始 JSON 模板（字符串形式）
$template = '{
    "jsonrpc": "2.0",
    "id": "0",
    "method": "transfer",
    "params": {
        "destinations": [
            {
                "amount": 0,
                "address": ""
            }
        ]
    }
}';

// 2. 解码为 PHP 对象（stdClass）
$json = json_decode($template);
if ($json === null) {
    throw new InvalidArgumentException('Invalid JSON template: ' . json_last_error_msg());
}

// 3. 安全注入变量（自动处理转义与类型）
$json->params->destinations[0]->amount  = (int)$PAYMENT_AMOUNT;
$json->params->destinations[0]->address = (string)$ADDRESS;

// 4. 重新编码为规范 JSON 字符串（确保 UTF-8、转义完整）
$postData = json_encode($json, JSON_UNESCAPED_SLASHES | JSON_UNESCAPED_UNICODE);

最后配置 cURL 并执行请求：

立即学习“PHP免费学习笔记（深入）”；

$ch = curl_init();
curl_setopt_array($ch, [
    CURLOPT_URL            => 'http://localhost:18285/json_rpc',
    CURLOPT_RETURNTRANSFER => true,
    CURLOPT_POST           => true,
    CURLOPT_POSTFIELDS     => $postData,
    CURLOPT_HTTPHEADER     => ['Content-Type: application/json'],
    CURLOPT_TIMEOUT        => 30,
]);

$result = curl_exec($ch);
if (curl_errno($ch)) {
    echo 'cURL Error: ' . curl_error($ch);
} else {
    $response = json_decode($result, true);
    if (json_last_error() !== JSON_ERROR_NONE) {
        echo "Invalid JSON response received.";
    } else {
        print_r($response);
    }
}
curl_close($ch);

⚠️ 关键注意事项

• 绝不使用字符串插值（如 "\"amount\":$PAYMENT_AMOUNT"）：易导致 JSON 格式破坏、XSS 风险及无法处理特殊字符；
• 始终验证 JSON 编解码结果：json_decode() 返回 null 表示解析失败；json_encode() 失败时返回 false；
• 显式类型转换：对 $PAYMENT_AMOUNT 强制 (int) 可防止意外传入字符串（如 "5000000abc"）；
• 启用严格选项：json_encode(..., JSON_THROW_ON_ERROR)（PHP 7.3+）可替代手动 json_last_error() 检查；
• 生产环境务必启用 HTTPS：本地 http://localhost 仅用于开发，上线后必须使用 https:// 并校验证书。

✅ 总结

动态构建 JSON 请求体的核心原则是：先解码、再操作、后编码。该方式完全规避了字符串拼接陷阱，天然支持嵌套结构修改、自动转义与 Unicode 兼容，是 PHP 与现代 REST/JSON-RPC API 交互的标准实践。配合类型断言与错误处理，即可构建出高可靠性、易扩展的 API 调用逻辑。