PHP后端必须严格校验小程序参数，使用filter_var()等内置函数进行类型过滤、白名单校验、JSON安全解析、签名防篡改，并覆盖空值/类型混淆等边界场景。

小程序前端传来的参数不能直接信，PHP 后端必须做严格校验——否则轻则逻辑错乱，重则被刷接口、越权访问、SQL 注入或 XSS。

用 filter_var() 做基础类型和格式过滤

别一上来就写正则或手动 is_numeric() 判断，PHP 内置的 filter_var() 更安全、语义清晰，且支持批量过滤。

• filter_var($id, FILTER_VALIDATE_INT) 比 is_int($id) 可靠：后者对字符串 "123" 返回 false，而前者能正确识别并可配 options 限定范围（如 ['min_range' => 1, 'max_range' => 99999]）
• 手机号用 filter_var($phone, FILTER_VALIDATE_REGEXP, ['options' => ['regexp' => '/^1[3-9]\d{9}$/']])，比裸写 preg_match() 少一层错误处理
• 邮箱必须用 FILTER_VALIDATE_EMAIL，但注意它不验证域名是否存在，仅校验格式；若需更高强度，再加 DNS 查询或发验证码
• 对 $_POST 或 JSON 解析后的数组，用 filter_var_array() 一次性过滤多个字段，避免漏掉某个 key

用 in_array() 和白名单限制枚举类参数

小程序常传 type=video、status=1 这类控制行为的字段，后端绝不能只检查是否为数字或非空，必须明确限定可选值。

• 错误做法：if ($type !== '') { ... } ——攻击者可传 type=../../etc/passwd 触发路径遍历
• 正确做法：if (!in_array($type, ['image', 'video', 'audio'], true)) { throw new InvalidArgumentException('非法 type'); }，true 启用严格比较，防止 '0' == false 类型混淆
• 状态码、分页 order（asc/desc）、性别等所有“有限集合”字段，都应预先定义白名单数组，而非硬编码在 if 条件里
• 注意：白名单数组建议定义为 const 或配置项，避免散落在多处导致不一致

警惕 JSON 输入中的类型陷阱与嵌套污染

小程序调用 wx.request() 传 JSON 时，Content-Type: application/json 是常见场景，但 PHP 的 json_decode($_POST['data'], true) 容易埋雷。

• 默认 json_decode() 不校验 UTF-8 编码，恶意构造的畸形 Unicode 可能绕过后续正则匹配；建议加 JSON_THROW_ON_ERROR 标志，让解析失败直接抛异常
• 深层嵌套对象（如 {"user": {"profile": {"name": "xxx"}}}）需逐层判断键存在性，用 isset($data['user']['profile']['name']) 而非直接取值，否则触发 Notice
• 禁止将用户输入的 key 当作数组下标直接拼接，例如 $config[$user_input_key] —— 若 $user_input_key 是 ../../../../etc/passwd，可能引发变量覆盖或路径泄露
• 对 JSON 中的 URL、HTML 片段等高危字段，必须二次过滤：filter_var($url, FILTER_SANITIZE_URL) 或 htmlspecialchars($html, ENT_QUOTES, 'UTF-8')

签名验证是防篡改的第一道防线

小程序前端可任意修改请求参数，光靠字段校验无法防止中间人重放或篡改。必须配合服务端签名校验（如 HMAC-SHA256）。

• 小程序调用前，用约定密钥 + 参数排序 + 时间戳生成签名，例如：hash_hmac('sha256', $sor

  

  ted_query_string . $timestamp, $secret)
• PHP 后端收到请求后，用相同逻辑重算签名，并严格比对（用 hash_equals() 防时序攻击）
• 必须校验 timestamp 是否在允许窗口内（如 ±300 秒），防止重放攻击
• 签名原文中务必包含不可预测因子（如随机 nonce 或 openid），否则固定参数组合会导致签名可复用
• 注意：签名密钥绝不能硬编码在前端或小程序代码里，应由后端下发临时 token 或通过登录态关联

参数校验不是加个 isset() 就完事，真正容易出问题的是边界场景：空字符串 vs null、0 vs "0"、JSON 中的浮点数精度丢失、大小写混用的枚举值。这些地方不写测试用例，上线后基本靠日志抓 bug。

# php  # html  # js  # 前端  # json  # 编码  # app  # 小程序  # 后端  # mac  # ai  # dns  # 邮箱  # sql  # xss  # NULL  # if  # timestamp  # throw  # filter_var  # Token  # const  # 字符串  # 接口  # regexp  # 对象  # bug  # 而非  # 绝不能  # 的是  # 重放  # 多个  # 遍历  # 这类  # 更高  # 分页 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 怎么用AI帮你设计一套个性化的手机App图标？  如何快速生成凡客建站的专业级图册？  Internet Explorer官网直接进入 IE浏览器在线体验版网址  node.js报错：Cannot find module 'ejs'的解决办法  企业在线网站设计制作流程,想建设一个属于自己的企业网站，该如何去做？  Laravel Asset编译怎么配置_Laravel Vite前端构建工具使用  桂林网站制作公司有哪些,桂林马拉松怎么报名？  海南网站制作公司有哪些,海口网是哪家的？  公司门户网站制作流程,华为官网怎么做？  软银砸40亿美元收购DigitalBridge 强化AI资料中心布局  Laravel事件监听器怎么写_Laravel Event和Listener使用教程  如何在万网利用已有域名快速建站？  Laravel怎么实现微信登录_Laravel Socialite第三方登录集成  ,怎么在广州志愿者网站注册？  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  nginx修改上传文件大小限制的方法  *服务器网站为何频现安全漏洞？  Laravel怎么连接多个数据库_Laravel多数据库连接配置  今日头条微视频如何找选题 今日头条微视频找选题技巧【指南】  Python文件操作最佳实践_稳定性说明【指导】  Win11搜索不到蓝牙耳机怎么办 Win11蓝牙驱动更新修复【详解】  如何在腾讯云服务器上快速搭建个人网站？  Laravel队列任务超时怎么办_Laravel Queue Timeout设置详解  如何在Tomcat中配置并部署网站项目？  Laravel请求验证怎么写_Laravel Validator自定义表单验证规则教程  javascript中的try catch异常捕获机制用法分析  LinuxCD持续部署教程_自动发布与回滚机制  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门  中山网站推广排名,中山信息港登录入口？  如何快速重置建站主机并恢复默认配置？  黑客入侵网站服务器的常见手法有哪些？  HTML5建模怎么导出为FBX格式_FBX格式兼容性及导出步骤【指南】  Laravel如何实现数据库事务？（DB Facade示例）  Laravel如何使用软删除（Soft Deletes）功能_Eloquent软删除与数据恢复方法  如何在沈阳梯子盘古建站优化SEO排名与功能模块？  Laravel表单请求验证类怎么用_Laravel Form Request分离验证逻辑教程  Thinkphp 中 distinct 的用法解析  HTML 中如何正确使用模板变量为元素的 name 属性赋值  怎么用AI帮你为初创公司进行市场定位分析？  Laravel如何操作JSON类型的数据库字段？（Eloquent示例）  使用PHP下载CSS文件中的所有图片【几行代码即可实现】  Laravel怎么配置S3云存储驱动_Laravel集成阿里云OSS或AWS S3存储桶【教程】  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  Laravel如何使用Vite进行前端资源打包？（配置示例）  Java垃圾回收器的方法和原理总结  香港服务器网站推广：SEO优化与外贸独立站搭建策略  如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  Laravel如何创建自定义中间件？（Middleware代码示例）  哪家制作企业网站好,开办像阿里巴巴那样的网络公司和网站要怎么做？  Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率