ThinkPHP路由参数绑定严格按参数名匹配路径变量,不依赖顺序;未声明同名参数或未设默认值将直接报错;需配合pattern()正则校验防注入,且仅对:path形式生效。
ThinkPHP 路由参数绑定不是自动“猜”的,而是靠 URL 路径段与方法参数名严格匹配,不加默认值就直接报错。
参数按名字绑定(默认行为)
URL 中的 :id、:year 这类变量,会自动尝试匹配控制器方法里同名的形参,比如 read($id) 或 archive($year, $month)。顺序完全无关,只看名字是否一致。
- ✅ 正确:访问
/article/123,方法定义为detail($id = 0)→ 拿到$id = 123 - ❌ 报错:同样访问
/article/123,但方法是detail($aid)→ 找不到$aid,抛出“参数错误:aid” - ⚠️ 坑点:即使你写了
Route::get('article/:id', 'Article/detail'),如果detail()方法没声明$id或没给默认值,照样崩
必须给参数设默认值,否则一漏就挂
ThinkPHP 不会帮你兜底——没有传参时,不带默认值的必填参数直接触发异常,页面白屏或 500 错误。
- 写法必须是
public function detail($id = 0) { ... },不能只写$id - 字符串参数也一样:
public function search($keyword = ''),空字符串比null更安全(避免后续strlen(null)报 warning) - 别依赖文档说“可选”,实际运行中只要路由规则含
:xxx,它就要求方法有对应参数;真要可选,得用/:xxx?+ 默认值双重保险
正则约束和 pattern() 是防注入的第一道门
光靠名字绑定不够,用户可能乱输 /user/abc 来撞你 user/:id 的路由。不加校验,$id = 'abc' 传进数据库查询就报错甚至被 SQL 注入。
立即学习“PHP免费学习笔记(深入)”;
- 强制数字:
Route::get('user/:id', 'User/read')->pattern(['id' => '\d+']) - 限制长度或格式:
->pattern(['token' => '[a-zA-Z0-9_]{16,32}']) - ⚠️ 注意:
pattern()只对:xxx形式生效,对/:xxx?或 GET 查询参数(如?id=123)无效
别混淆路由参数和 query 参数
:id 是 pathinfo 参数,走的是 URL 路径段;而 ?id=123 是 query string,不会参与名字绑定,除非你手动调 input('id')。
- 绑定只认路径里的变量:访问
/post/5?from=wechat,只有$id = 5自动注入,$from不会绑定 - 想让 query 参数也进方法?得显式写:
public function show($id = 0, $from = '') { ... },但此时$from不是自动绑定的,只是 PHP 函数默认值生效 - 真正想统一处理?改用
Request对象:$this->request->param('from', '')
最常被忽略的一点:路由参数绑定发生在框架调度早期,一旦匹配失败(比如名字不对、没默认值、正则不通过),请求根本到不了控制器——你连日志都看不到,只能查 Nginx/Apache 访问日志或开调试模式看具体哪步卡住。
