PHP API开发需五步:一、定义路由与请求方法,创建api/user.php并限定GET;二、解析校验参数,区分GET/POST并验证合法性;三、用PDO预处理查询数据库;四、统一JSON响应格式并过滤敏感字段;五、通过Authorization头实现Token身份认证。
如果您正在设计一个PHP网站并需要对外提供数据服务,则必须构建标准化的API接口。以下是实现PHP API接口开发的具体步骤:
一、定义API路由与请求方法
API接口需明确支持的HTTP方法(如GET、POST、PUT、DELETE)及对应路径,确保客户端能按约定发起请求并获取结构化响应。路由应避免硬编码,推荐使用轻量级分发机制或框架内置路由功能。
1、在项目根目录创建api/子目录,用于集中存放接口脚本。
2、为用户信息查询接口创建user.php文件,仅响应GET请求。
3、在user.php开头添加header('Content-Type: application/json; charset=utf-8');以声明返回格式。
4、使用$_SERVER['REQUEST_METHOD']判断当前请求类型,非GET请求直接返回405状态码。
二、解析请求参数并校验合法性
客户端传入的参数可能来自URL查询字符串、JSON请求体或表单数据,需统
一提取并验证其存在性、类型与业务规则,防止非法输入导致逻辑错误或安全漏洞。
1、若请求为GET,使用$_GET获取id参数,并用is_numeric()检查是否为数字。
2、若请求为POST且Content-Type为application/json,调用file_get_contents('php://input')读取原始数据,再用json_decode()解析。
3、对必需字段(如token)执行isset()检测,缺失时返回{"code":400,"message":"缺少必要参数"}。
4、对ID类参数执行intval()强制转换,防止SQL注入或类型混淆。
三、连接数据库并执行数据操作
API需从后端存储中读取或写入数据,应使用PDO或MySQLi扩展建立安全连接,所有SQL语句必须采用预处理方式,杜绝拼接字符串引发的注入风险。
1、使用PDO构造函数连接MySQL,设置ATTR_ERRMODE为ERRMODE_EXCEPTION以便捕获异常。
2、编写SELECT语句模板:SELECT id,name,email FROM users WHERE id = ?。
3、调用prepare()和execute([$id])执行预处理查询,避免直接插入变量。
4、使用fetch(PDO::FETCH_ASSOC)获取单条记录,若无结果则返回{"code":404,"message":"资源未找到"}。
四、统一响应格式并输出JSON
无论成功或失败,所有API接口应返回一致的JSON结构,包含状态码、消息和可选数据字段,便于前端统一解析与错误处理。
1、定义响应数组:$response = ['code' => 200, 'message' => 'success', 'data' => $row];。
2、对敏感字段(如password_hash)执行unset()操作,禁止输出到响应体。
3、调用json_encode($response, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES)生成UTF-8安全字符串。
4、使用echo输出JSON内容后立即调用exit(),阻止后续代码执行干扰响应流。
五、添加基础身份认证机制
公开API需防止未授权访问,可采用Token校验方式,在每次请求头中提取Authorization字段进行比对,确保调用者具备合法权限。
1、要求客户端在请求头中携带Bearer
2、使用getallheaders()获取全部头信息,提取Authorization字段并截取token部分。
3、查询数据库中valid_tokens表,匹配token值与active状态为1的记录。
4、校验失败时返回HTTP状态码401,并输出{"code":401,"message":"身份验证失败"}。
