【PHP】php://input、$_POST、$_GET、$HTTP_RAW_POST_DATA 关系梳理

本文主要参考

最近在Coding的时候遇到了一个让人头晕的问题:前端用axios库提交的数据,在后端框架无法捕获;于是本着追本溯源的精神开始了这个问题的探索!

一、填坑
前端数据抓包

首先抓取前端的数据请求包,可以看到HTTP Method为PUT,提交的数据在entity body中,并且为JSON数据格式,但是我们在后台接口框架中打印捕获到的POST数据为:


image.png

很显然后端框架虽然捕获到了前端提交的POST数据,但是并没有正确解析,因此问题应该主要出在框架上(后端使用Phalcon框架)。通过跟踪代码看到,后端获取POST数据的代码为:

   if ($method == PostedDataMethods::JSON_BODY) {
        return $this->getJsonRawBody(true);
    }
    else if($method == PostedDataMethods::POST) {
        return $this->getPost();
    }
    else if($method == PostedDataMethods::PUT) {
        return $this->getPut();
    }
    else if($method == PostedDataMethods::GET) {
        return $this->getQuery();
    }

接口框架通过判断HTTP请求方法调用不同的方法获取POST数据,本例使用PUT提交数据,所以调用了getPut(),该方法为Phalcon框架的方法,因此调出Phalcon源码继续追踪。

Phalcon源码部分:

public function getPut(string! name = null, var filters = null, var defaultValue = null, boolean notAllowEmpty = false, boolean noRecursive = false) -> var
{
    var put;

    let put = this->_putCache;

    if typeof put != "array" {
        let put = [];
        parse_str(this->getRawBody(), put);

        let this->_putCache = put;
    }

    return this->getHelper(put, name, filters, defaultValue, notAllowEmpty, noRecursive);
}
/**
 * Gets HTTP raw request body
 */
public function getRawBody() -> string
{
    var rawBody, contents;

    let rawBody = this->_rawBody;
    if empty rawBody {

        let contents = file_get_contents("php://input");

        /**
         * We need store the read raw body because it can't be read again
         */
        let this->_rawBody = contents;
        return contents;
    }
    return rawBody;
}

从上面代码可以看到,对于PUT请求,Phalcon框架首先获取php://input输入流中的信息,在本例中,php://input输入流中的值为:

{"id":22,"package_name":"test","md5":"ste1","type":"3","op_id":0,"status":1,"update_time":1509677637,"create_time":1509625133}

因此该字符串通过parse_str()解析后,就变成了:

{{"id":22,"package_name":"test","md5":"ste1","type":"3","op_id":0,"status":1,"update_time":1509677637,"create_time":1509625133} : ""}

即:我们在后台获取到的POST值。
至此,这个问题的原因基本可以确定,是由于前端提交的数据是JSON格式的数据,然而Phalcon并没有去解析这个JSON数据,而是直接把它当做一个字符串,然后直接进行解析。

所以解决当前问题的解决方法有:

  • 让前端提交的数据格式由JSON格式转化为形如:id=22&package_name=test&…… 的字符串形式,从而后端能够正确解析前端传过来的参数;
  • 或者在接口框架中指定前端传过来的数据为JSON格式,让接口框架调用Phalcon框架中getJsonRawBody()方法,从而也能够正确解析前端传过来的参数

最后,实践证明这两种方法都有效!

二、扩展

这个问题虽然解决了,但是自己仍然对不同HTTP method情况下,http请求参数获取的内部关系一知半解,在仔细阅读了Phalcon 请求参数获取部分源码后,我知道自己需要先从PHP中php://input输入流、$_POST、$_GET、$HTTP_RAW_POST_DATA这几个兄弟之间的关系开始了解。

2.1 php://input

php://input是个可以访问请求的原始数据的只读流。 POST请求的情况下,最好使用php://input来代替$HTTP_RAW_POST_DATA,因为它不依赖于特定的php.ini指令。 而且,这样的情况下$HTTP_RAW_POST_DATA默认没有填充, 比激活always_populate_raw_post_data潜在需要更少的内存。当enctype="multipart/form-data"的时候,php://input是无效的。

  • 不需要任何特殊的 php.ini 设置
  • 不能用于 enctype="multipart/form-data"
2.2 $_POST

$_POST是我们最常用的获取POST数据的方式,它是以关联数组方式组织提交的数据,并对此进行编码处理,如urldecode,甚至编码转换,识别的数据类型是PHP默认识别的数据类型 application/x-www.form-urlencoded

  • 无法解析如text/xml,application/json等非 application/x-www.form-urlencoded 数据类型的内容
2.3 $HTTP_RAW_POST_DATA

PHP默认识别的数据类型是application/x-www.form-urlencoded,用Content-Type=application/json 类型,提交的POST数据这时候 $_POST 就无法获取到了,但是使用 $GLOBALS['HTTP_RAW_POST_DATA'] 可以获取到。因为在PHP无法识别Content-Type的时候,就会把 POST 数据填入到 $HTTP_RAW_POST_DATA 中。

  • 需要设置 php.ini 中的 always_populate_raw_post_data 值为 on 才会生效
  • 当$_POST 与 php://input可以取到值时 $HTTP_RAW_POST_DATA 为空
  • 不能用于 enctype="multipart/form-data"
  • PHP7中已经移除了这个全局变量,用 php://input 替代
2.4 $_GET

从带有 GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送信息的量也有限制。

三、总结
3.1 php://input

php://input数据与http entity body部分数据是总是一致的(该部分相一致的数据的长度由Content-Length指定),除了当Content-Type为multipart/form-data的时候。

multipart/form-data表示以POST方法提交表单数据,它还伴随了文件上传,所以会跟application/x-www-form-urlencoded数据格式不一样。它会以一更种更合理的,更高效的数据格式传递给服务端。

3.2 $_POST

只有在Content-Type为application/x-www-form-urlencoded或者为multipart/form-data的时候,PHP才会将http请求数据包中的body相应部分数据填入$_POST全局变量中,其它情况PHP都忽略。

3.3 $HTTP_RAW_POST_DATA

$HTTP_RAW_POST_DATA数据总是跟php://input相同,但是php://input比$HTTP_RAW_POST_DATA更高效,且不需要特殊设置php.ini。

3.4 $_GET

PHP会将PATH字段的query_path部分,填入全局变量$_GET。通常情况下,GET方法提交的http请求body为空。

注:文中如有任何错误,请各位批评指正!

推荐阅读更多精彩内容