PHP接收参数后须立即校验:用filter_var()清洗并验证格式,JSON需手动解析并检查json_last_error(),数据库插入前还需业务层校验(如唯一性),校验逻辑应抽为独立函数确保复用与一致性。
PHP 接收前端参数后怎么第一时间做格式校验
不校验就入库,等于把数据库当垃圾场。PHP 后端必须在 $_POST、$_GET 或 JSON body 解析后立即校验,而不是等进到业务逻辑里才判断。
推荐用原生 filter_var() + 自定义规则组合,避免过早依赖框架(比如 Laravel 的 validate()),方便排查和调试。
- 对字符串字段:用
filter_var($val, FILTER_SANITIZE_STRING)清洗,再用strlen()和正则判断长度与格式 - 对邮箱:直接用
filter_var($email, FILTER_VALIDATE_EMAIL),别自己写正则 - 对数字:优先用
filter_var($num, FILTER_VALIDATE_INT)或FILTER_VALIDATE_FLOAT,注意0和"0"都合法,但"0abc"会被截断成0—— 所以要加FILTER_FLAG_STRIP_LOW等辅助标志 - 对日期字符串(如
"2024-05-20"):用DateTime::createFromFormat()配合!$date->getLastErrors()判断是否真能解析,比strtotime()更严格
JSON 请求体(Content-Type: application/json)怎么安全取参
前端用 fetch() 或 axios 发 JSON,PHP 默认不自动解析到 $_POST,必须手动读取 php://input 并 json_decode()。
常见错误是忽略 json_last_error(),导致 null 被当成空数组继续处理,最后插入一堆 NULL 到数据库。
立即学习“PHP免费学习笔记(深入)”;
if ($_SERVER['CONTENT_TYPE'] === 'application/json') {
$raw = file_get_contents('php://input');
$data = json_decode($raw, true);
if (json_last_error() !== JSON_ERROR_NONE) {
http_response_code(400);
echo json_encode(['error' => 'Invalid JSON']);
exit;
}
}
- 永远检查
json_last_error(),不能只靠is_array($data) -
json_decode($raw, true)的第二个参数必须为true,否则返回对象,后续用$data['name']会报错 - 如果前端发了空 body(
{}),$data是空数组,不是null;要单独判断必填字段是否存在
数据库插入前还要再校验一次?为什么
是的。HTTP 层校验只能防“明显错误”,但防不了业务冲突,比如用户名已存在、手机号重复、库存超卖。这些必须在 DB 层或事务中验证。
例如用户注册:前端传了 phone,你用 filter_var() 确认是合法手机号格式,但没查库确认是否已被注册 —— 这属于业务校验,必须在 INSERT 前执行 SELECT COUNT(*) 或用唯一索引 + 捕获 SQLSTATE[23000] 错误。
- 不要在 SQL 里拼接变量做校验,用预处理语句:
$stmt = $pdo->prepare("SELECT 1 FROM users WHERE phone = ?"); - 如果用 MySQL 唯一索引,捕获异常时检查
$e->getCode()是否为23000,而不是靠strpos($e->getMessage(), 'Duplicate') - 时间类字段(如
created_at)不要依赖前端传的时间,统一用date('Y-m-d H:i:s')或数据库NOW()
为什么建议把校验逻辑抽成独立函数而不是堆在控制器里
因为同一个字段(比如手机号)可能在注册、修改资料、重置密码多个接口里都要校验,硬编码会导致改一处漏三处。抽成函数后,还能复用单元测试。
例如写一个 validatePhone($phone):
function validatePhone($phone): array
{
if (!is_string($phone)) {
return ['valid' => false, 'msg' => 'Phone must be string'];
}
$clean = filter_var(trim($phone), FILTER_SANITIZE_NUMBER_INT);
if (strlen($clean) !== 11 || strpos($clean, '1') !== 0) {
return ['valid' => false, 'msg' => 'Invalid Chinese mobile format'];
}
return ['valid' => true, 'value' => $clean];
}
- 返回数组而非布尔值,便于带上错误信息,前端可直接展示
- 函数内部不做 DB 查询,只做格式/长度/基础规则,保持轻量
- 调用时统一用
if (!$result['valid']) { ... },避免empty()或== false引发的隐式转换问题
真正容易被忽略的是:校验函数返回的清洗后值(比如去除了空格和横线的手机号),必须和最终入库的值一致 —— 否则前端显示和数据库存的不一致,查 bug 会绕晕。
