PHP处理Fetch请求：JSON与URL编码实战教程

从现在开始，我们要努力学习啦！今天我给大家带来《PHP处理Fetch API请求：JSON与URL编码实战教程》，感兴趣的朋友请继续看下去吧！下文中的内容我们主要会涉及到等等知识点，如果在阅读本文过程中有遇到不清楚的地方，欢迎留言呀！我们一起讨论，一起学习！

本教程详细探讨了PHP服务器端如何有效接收并处理JavaScript fetch API发送的数据。我们将深入讲解使用 file_get_contents("php://input") 解析JSON负载的方法及其并发安全性，并介绍如何通过设置 Content-type 为 application/x-www-form-urlencoded 来利用 $_POST 接收数据。同时，文章还将讨论 X-Requested-With 请求头的应用与局限性，提供两种方法的示例代码，并强调了数据处理中的安全注意事项。

1. 使用 file_get_contents("php://input") 处理 JSON 负载

当前端使用 fetch API 以 JSON 格式发送数据时，通常会将数据通过 JSON.stringify() 序列化后放入请求体（body）中，并设置 Content-Type 为 application/json。在这种情况下，PHP 无法通过 $_POST 超全局变量直接访问这些数据，因为 $_POST 主要用于解析 application/x-www-form-urlencoded 或 multipart/form-data 类型的数据。

为了获取原始的 JSON 请求体，PHP 提供了一个特殊的输入流 php://input。通过读取这个流，我们可以获取到完整的请求体内容，然后使用 json_decode() 函数将其解析成 PHP 数组或对象。

前端 JavaScript 代码示例 (发送 JSON):

const data = { par1: 'value1', par2: 'value2' };

fetch('/myscript.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json' // 明确声明发送的是 JSON
    },
    mode: 'same-origin', // 确保同源策略
    credentials: 'same-origin', // 发送 Cookies 等凭证
    body: JSON.stringify(data) // 将数据序列化为 JSON 字符串
})
.then(response => response.text())
.then(output => {
    console.log(output); // 处理服务器响应
})
.catch(error => {
    console.error('Fetch error:', error);
});

后端 PHP 代码示例 (接收 JSON):

<?php
// 获取原始请求体内容
$inputJson = file_get_contents('php://input');

// 将 JSON 字符串解码为 PHP 关联数组
$inputData = json_decode($inputJson, true);

// 检查解码是否成功，并处理数据
if ($inputData === null && json_last_error() !== JSON_ERROR_NONE) {
    // JSON 解析错误处理
    header('Content-Type: application/json', true, 400);
    echo json_encode(['error' => 'Invalid JSON data']);
    exit;
}

// 访问数据
$param1 = $inputData['par1'] ?? null;
$param2 = $inputData['par2'] ?? null;

// 进行业务逻辑处理...
$output = "Received: par1 = {$param1}, par2 = {$param2}";

// 返回响应
header('Content-Type: text/plain'); // 根据实际响应类型设置
echo $output;
?>

关于 php://input 的并发安全性：

许多开发者可能会担心，如果多个 fetch 请求同时访问 php://input，是否会导致数据冲突。实际上，这种担忧是没有必要的。PHP 服务器在处理每个 HTTP 请求时，都会为该请求创建一个独立的执行环境。这意味着，每一次对 myscript.php 的调用，都会启动一个新的 PHP 脚本实例，该实例拥有自己独立的 php://input 流。因此，不同的并发请求之间不会相互干扰，数据是隔离且安全的。

2. 请求来源验证与 X-Requested-With 头部

在 jQuery 的 $.post() 等 AJAX 方法中，通常会自动添加 X-Requested-With: XMLHttpRequest 头部。这在过去常被用于在服务器端判断请求是否来源于 AJAX。然而，原生 fetch API 默认不会添加此头部。

手动添加 X-Requested-With 头部：

如果您的后端逻辑依赖于此头部进行判断，您可以手动在 fetch 请求中添加它：

前端 JavaScript 代码示例 (添加 X-Requested-With):

const data = { par1: 'value1', par2: 'value2' };

fetch('/myscript.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-Requested-With': 'XMLHttpRequest' // 手动添加此头部
    },
    mode: 'same-origin',
    credentials: 'same-origin',
    body: JSON.stringify(data)
})
.then(response => response.text())
.then(output => {
    console.log(output);
})
.catch(error => {
    console.error('Fetch error:', error);
});

后端 PHP 代码示例 (检查 X-Requested-With):

<?php
// 检查 X-Requested-With 头部
if (!isset($_SERVER['HTTP_X_REQUESTED_WITH']) || $_SERVER['HTTP_X_REQUESTED_WITH'] !== 'XMLHttpRequest') {
    // 警告：此方法并非绝对安全，仅作为初步判断
    header('Content-Type: text/plain', true, 403);
    die('Invalid request origin!');
}

// ... 后续处理 JSON 数据 ...
$inputJson = file_get_contents('php://input');
$inputData = json_decode($inputJson, true);
// ...
?>

重要安全提示：

X-Requested-With 头部不应被视为一种可靠的安全机制来防止“黑客攻击”或验证请求来源。恶意用户可以轻易地伪造任何 HTTP 头部，包括 X-Requested-With。真正的安全防护应该依赖于更强大的机制，例如：

• 身份验证 (Authentication)：确保请求来自已登录且授权的用户。
• 授权 (Authorization)：验证用户是否有权执行特定操作。
• CSRF (Cross-Site Request Forgery) 令牌：防止跨站请求伪造攻击，确保请求是由用户自愿发起的。
• CORS (Cross-Origin Resource Sharing)：控制哪些域可以访问您的资源。

3. 使用 URL 编码数据与 $_POST 的替代方案

如果您觉得 file_get_contents("php://input") 结合 json_decode() 看起来比较“非主流”，或者您的数据结构更适合传统的表单提交方式，您可以选择以 application/x-www-form-urlencoded 格式发送数据。在这种情况下，PHP 会自动将数据解析到 $_POST 超全局变量中，就像处理普通 HTML 表单提交一样。

前端 JavaScript 代码示例 (发送 URL 编码数据):

const par1 = 'value1 with spaces';
const par2 = 'value2&symbols';

// 构建 URL 编码字符串
const body = `par1=${encodeURIComponent(par1)}&par2=${encodeURIComponent(par2)}`;

fetch('/myscript.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded', // 明确声明发送的是 URL 编码数据
        'X-Requested-With': 'XMLHttpRequest' // 如果需要，可以继续添加
    },
    mode: 'same-origin',
    credentials: 'same-origin',
    body: body // 发送 URL 编码字符串
})
.then(response => response.text())
.then(output => {
    console.log(output);
})
.catch(error => {
    console.error('Fetch error:', error);
});

后端 PHP 代码示例 (接收 URL 编码数据):

<?php
// 此时，数据会自动填充到 $_POST 数组中
$param1 = $_POST['par1'] ?? null;
$param2 = $_POST['par2'] ?? null;

// 检查是否收到数据
if (empty($_POST)) {
    header('Content-Type: application/json', true, 400);
    echo json_encode(['error' => 'No POST data received']);
    exit;
}

// 进行业务逻辑处理...
$output = "Received via _POST: par1 = {$param1}, par2 = {$param2}";

// 返回响应
header('Content-Type: text/plain');
echo $output;
?>

选择哪种方式？

• JSON 负载 (php://input)：适用于发送复杂、嵌套的数据结构，是现代 RESTful API 的首选。它使得前后端数据格式保持一致，易于处理。
• URL 编码 ($_POST)：适用于发送扁平、简单的键值对数据，与传统表单提交兼容。如果您的数据非常简单，或者您希望利用 PHP 自动解析到 $_POST 的便利性，这是一种简单直接的方法。

总结

fetch API 是现代 Web 开发中进行异步请求的强大工具。在 PHP 后端处理 fetch 请求时，您可以根据数据传输的格式选择合适的方法：对于 JSON 格式的数据，使用 file_get_contents("php://input") 并结合 json_decode() 是标准且推荐的做法；对于传统的 URL 编码数据，PHP 会自动将其解析到 $_POST 数组中。

无论选择哪种方法，都应牢记安全是首要考虑因素。避免依赖易于伪造的 HTTP 头部进行安全验证，而应实施全面的身份验证、授权和 CSRF 保护机制，以确保应用程序的健壮性和安全性。理解这些机制将帮助您构建更安全、更高效的 Web 应用程序。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~