ThinkPHP生成带参数二维码方法汇总

ThinkPHP 6 需借助第三方扩展生成二维码，推荐 simplesoftwareio/simple-qrcode（v4.x），需配置服务提供者和门面；动态二维码核心是用 url() 生成安全可路由链接；可保存为文件复用，注意路径、权限与并发安全；防刷建议路由隐式传参+后端解密映射。

ThinkPHP 6 中用 qrcode 扩展生成带参数的动态二维码

直接结论：ThinkPHP 6 本身不内置二维码能力，必须借助第三方扩展，推荐用 endroid/qr-code（v4+）或轻量级的 simplesoftwareio/simple-qrcode。前者更可控，后者对 Laravel 兼容好、ThinkPHP 里也能跑，但要注意版本匹配。

常见错误是直接 composer require qrcode——没这个包；或者装了 chillerlan/php-qrcode 却发现不支持流式输出或中文路径出错。

• 推荐执行：composer require simplesoftwareio/simple-qrcode（v4.x，适配 TP6 的 PHP 7.4+）
• 安装后需在 config/app.php 的 providers 数组中手动添加：SimpleSoftwareIO\QrCode\QrCodeServiceProvider::class
• 别漏掉 alias 配置：'QrCode' => SimpleSoftwareIO\QrCode\Facades\QrCode::class，否则 QrCode::size() 会报类未找到

生成含 GET 参数的动态链接二维码（如跳转用户专属页）

核心不是“生成图”，而是“构造可变 URL”。二维码内容本质是字符串，所以重点在拼接安全、可路由的地址。

例如要生成指向 /user/profile?id=123&token=abc 的二维码，不能硬编码 URL，得用 ThinkPHP 的 url() 辅助函数生成规范路由地址：

QrCode::size(300)->generate(url('user/profile', ['id' => $uid, 'token' => $token]));

注意点：

• url() 返回的是相对路径（如 /user/profile?id=123...），若前端需扫码后在非根目录访问（比如部署在 https://a.com/app/），得提前设置 app.url 配置或用 Url::build() + 完整域名
• 参数含特殊字符（如 +、/）时，url() 默认已做 urlencode，不用再套一层
• 避免把敏感参数（如 session_id、数据库密码）直接塞进二维码——一旦泄露无法撤回

保存二维码到服务器并返回访问路径（非实时渲染）

很多场景需要“生成一次、多次复用”，比如商品海报里的二维码。这时不能每次都调 generate() 输出图片流，而应写入文件并返回 URL。

关键操作是用 file_put_contents() 写入 PNG 二进制，路径建议放在 public/static/qrcode/ 下，确保 Web 可直接访问：

$filename = 'qrcode_' . md5($content . time()) . '.png';
$filepath = public_path() . '/static/qrcode/' . $filename;
QrCode::format('png')->size(280)->generate($content, $filepath);

后续返回给前端的地址就是：/static/qrcode/filename。注意检查：

• public/static/qrcode/ 目录是否存在且有写权限（Linux 下常因权限不足导致 file_put_contents 静默失败）
• Windows 环境下 public_path() 返回带反斜杠路径，需用 str_replace('\\', '/', ...) 统一处理，否则 file_put_contents 可能报错
• 不要用 md5(time()) 做文件名——并发高时易冲突，改用 uniqid('', true) 或结合业务 ID

TP6 路由隐式传参 + 二维码内容混淆防刷

如果二维码用于活动推广，直接暴露 ?aid=1001 容易被批量请求刷数据。可行做法是用 ThinkPHP 的「路由变量」+ 后端解密映射。

例如定义路由：Route::get('go/:code', 'Index/go')->option(['convert' => false]);，然后生成二维码内容为 https://your.com/go/xyz789。后端 go() 方法收到 $code 后查表还原真实参数（如 xyz789 → ['aid'=>1001, 'source'=>'wechat']）。

这样做的好处：

• 二维码内容不可逆推原始参数，防爬
• 同一活动可复用一个短码，后台随时切换目标链接（比如从 H5 换成小程序）
• 需自行维护短码映射表，别用简单 base64（太容易被猜解），推荐用 AES 加密 + URL 安全 Base64 编码

混淆不是银弹——如果短码生成规则固定、无随机盐值，仍可能被暴力枚举。真正关键的是限制单 IP 单日扫码次数，并记录来源做归因分析。