微信支付回调PHP接收与处理详解

怎么入门文章编程？需要学习哪些知识点？这是新手们刚接触编程时常见的问题；下面golang学习网就来给大家整理分享一些知识点，希望能够给初学者一些帮助。本篇文章就来介绍《微信支付回调PHP接收与处理教程》，涉及到，有需要的可以收藏一下

微信支付回调必须用file_get_contents('php://input')读取原始XML，经simplexml_load_string转数组后按字典序拼接非空非sign字段+密钥MD5验签，成功后立即返回纯文本success。

微信支付回调必须用原生 php://input 读取原始 XML 数据

微信服务器发起的异步通知是 POST 请求，但**不带 Content-Type: application/x-www-form-urlencoded**，也不走 PHP 的 $_POST。它发的是纯 XML（Content-Type: text/xml），且不附带任何 URL 编码参数。直接读 $_POST 或 $_REQUEST 一定是空的。

正确做法是：

• 用 file_get_contents('php://input') 获取原始请求体
• 不能用 $HTTP_RAW_POST_DATA（PHP 7.0+ 已废弃，且默认关闭）
• 必须在脚本开头就读，否则后续调用 php://input 会返回空

$xml = file_get_contents('php://input');
if (empty($xml)) {
    // 微信可能没发数据，或被中间件/代理截断
    exit('fail');
}

验签前先用 simplexml_load_string() 解析并转成数组

微信返回的 XML 结构固定，但字段名大小写敏感、存在嵌套（如 在根节点），直接用 DOM 或正则解析容易出错。推荐用 simplexml_load_string() + json_decode(json_encode(...), true) 转为关联数组。

注意两点：

• XML 中的 会被自动剥离，内容直接作为字符串值
• 如果 XML 格式非法（比如微信重试时传了乱码），simplexml_load_string() 会返回 false，必须判空并返回 fail

$data = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
if ($data === false) {
    exit('fail');
}
$notify = json_decode(json_encode($data), true);

验签必须按微信文档拼接字符串：字段名升序 + 不含 sign + 签名密钥末尾加

微信签名规则不是简单地把所有字段连起来，而是有严格顺序和过滤条件：

• 只取 $notify 中值非空、且 key 不是 sign 的字段
• key 按字典序（ASCII 升序）排序，不是中文拼音，也不是 PHP 数组键顺序
• 每个 key=value 用 & 连接，末尾**不加 &**
• 最后拼上 &key=YOUR_MCH_KEY（你的商户平台「API 密钥」，32 位）

常见翻车点：

• 漏掉 trade_type 或 bank_type 等可选字段导致签名不一致
• 把 total_fee 当整数参与拼接（实际要原样字符串，如 "100"）
• 用 md5() 但没转大写（微信要求大写 HEX）

$params = [];
foreach ($notify as $k => $v) {
    if ($k !== 'sign' && $v !== '' && !is_array($v)) {
        $params[$k] = $v;
    }
}
ksort($params);
$string = http_build_query($params, '', '&', PHP_QUERY_RFC3986);
$string .= '&key=your_32bit_mch_key';
$localSign = strtoupper(md5($string));
if ($localSign !== $notify['sign']) {
    exit('fail');
}

处理成功后必须立即返回 success 纯文本，且 HTTP 状态码为 200

微信服务器收到非 success（比如 FAIL、空响应、HTML 页面、JSON 字符串）或超时（>5 秒）、状态码非 200，就会持续重试（最多 10 次，间隔不断拉长）。你不能在返回前查数据库、发邮件、调第三方 API——这些必须异步做。

安全建议：

• 先验签，再检查 $notify['result_code'] === 'SUCCESS' 和 $notify['return_code'] === 'SUCCESS'
• 用 $notify['out_trade_no'] 查询本地订单是否存在且未支付，避免重复处理
• 更新订单状态后，再返回 success；哪怕 DB 写失败，也应记录日志并返回 fail 触发重试

if ($notify['result_code'] === 'SUCCESS' && $notify['return_code'] === 'SUCCESS') {
    // 查单、更新、发消息等业务逻辑（建议丢进队列）
    updateOrderStatus($notify['out_trade_no'], $notify['transaction_id']);
}
// 必须无任何输出、无换行、纯文本
echo 'success';

微信回调最常卡在「以为能读 $_POST」和「签名字符串拼错顺序或漏字段」，这两处多打几个 var_dump() 对比微信文档里的示例签名，基本就能定位。

以上就是《微信支付回调PHP接收与处理详解》的详细内容，更多关于的资料请关注golang学习网公众号！