微信公众号消息PHP怎么接收_处理微信服务器推送消息教程【教程】

微信公众号消息接收核心是正确获取并解析XML：用file_get_contents("php://input")读取原始POST数据，清除BOM后用simplexml_load_string()解析，注意字段对调、CDATA包裹及严格验证签名。

微信公众号消息用 PHP 接收，核心就两件事：过验证、读 XML。其他都是在这基础上做分支处理，没玄学，但错一个字符就收不到消息。

怎么用 file_get_contents("php://input") 正确接收 POST 消息

php
$postStr = file_get_contents("php://input");
if (empty($postStr)) {
    // 微信可能发了空请求，或 Nginx/Apache 配置拦截了 raw body（如某些安全模块）
    exit;
}

• 必须在脚本开头立即执行，不能有任何输出（包括 BOM、空格、echo）
• 如果返回空字符串，先检查 Web 服务器是否禁用了 php://input（少见），更常见的是 Nginx 的 client_max_body_size 太小（图文消息可能超 2MB），或启用了 always_populate_raw_post_data 干扰
• 不要试图用 json_decode() 或 parse_str()，它根本不是 JSON 或 query string

为什么 simplexml_load_string() 解析老失败

• 微信发来的 XML 默认含 UTF-8 BOM（哪怕你肉眼看不出来），导致 simplexml_load_string() 报 “String could not be parsed as XML”
• 解决办法是先清理 BOM 和不可见控制符：

php
$postStr = file_get_contents("php://input");
$postStr = trim($postStr);
$postStr = preg_replace('/^\xEF\xBB\xBF/', '', $postStr); // 去 BOM
$arr = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
if ($arr === false) {
    error_log("XML parse failed: " . $postStr);
    exit;
}

• LIBXML_NOCDATA 很关键：它让 CDATA 内容不被转义成对象子节点，而是直接作为字符串值（比如 $arr->Content 就是纯文本，不是对象）
• 别漏掉 (string) 强转：即使解析成功，$arr->MsgType 是 SimpleXMLElement 对象，直接 == 'text' 可能类型不匹配，稳妥写法是 (string)$arr->MsgType

回复消息时 ToUserName 和 FromUserName 怎么填才不翻车

php
$fromUser = (string)$arr->FromUserName;
$toUser   = (string)$arr->ToUserName;
$content  = '收到啦！';
$xmlTpl = "
%s";
echo sprintf($xmlTpl, $fromUser, $toUser, time(), $content);

							

								
								

									Robovision AI
									
一个强大的视觉AI管理平台
								
								下载 
							
						

• CreateTime 必须是整型时间戳（秒级），不是日期字符串
• 所有用户输入内容（比如 $arr->Content）必须进 CDATA 包裹，否则含 > 会破坏 XML 结构
• 回复前别 echo 其他任何东西（包括调试 var_dump），否则 XML 被污染，微信返回“无法提供服务”

验证阶段为啥死活过不了 —— sha1() 排序细节决定成败

• 微信要求把 $token、$_GET['timestamp']、$_GET['nonce'] 三个字符串按字典序升序排列后拼接，不是按变量名排，也不是按传入顺序
• 错误写法：$tmpStr = $token . $timestamp . $nonce;
• 正确写法：

php
$token = 'mytoken123'; // 必须和公众平台后台填的一模一样（区分大小写、空格）
$tmpArr = [$token, $_GET['timestamp'], $_GET['nonce']];
sort($tmpArr, SORT_STRING); // 明确指定 SORT_STRING
$tmpStr = implode($tmpArr);
$signature = sha1($tmpStr);
if ($signature === $_GET['signature']) {
echo $_GET['echostr'];
exit;
}

• sort() 默认是 SORT_REGULAR，对字符串排序可能出意外，务必显式加 SORT_STRING
• token 填错、大小写不一致、多一个空格，都会导致签名不匹配；建议把 token 存配置文件，别硬编码在 if 判断里

微信消息流看着绕，其实就两条线：GET 验证走一次，之后全是 POST XML 来回。只要确保入口脚本干净、XML 解析稳、字段填对、不乱输出，剩下的就是按 MsgType 和 Event 写业务逻辑——那些反而不难。