如何在 PHP 中正确获取 POST 请求的请求头与参数内容

如何在 PHP 中正确获取 POST 请求的请求头与参数内容

本文详解如何通过 php 的 stream_context_create 和 file_get_contents 正确发起带表单数据的 post 请求，并在服务端可靠获取请求头及原始参数，避免 exec + curl 的安全隐患与上下文误用问题。

在PHP开发中，发起一个带表单数据的POST请求，并在服务端准确无误地拿到请求头和参数，这事儿听起来简单，但细节上栽跟头的开发者可不在少数。核心就两点：客户端得把请求“包装”对，服务端得知道从哪儿“拆包”。常见的误区，往往就出在这两个环节的错配上。

比如，你可能会遇到这样的情况：数据明明发出去了，服务端却只收到一堆空的请求头，关键的参数不翼而飞。问题出在哪儿？通常有两个“罪魁祸首”：

1. 客户端误用了资源句柄：试图把 stream_context_create 创建的资源（resource）直接拼接到 shell 命令里，让 curl --data 去发送。这相当于给了快递员一个仓库的内部编号，而不是货物本身，结果自然是空跑一趟。
2. 服务端找错了地方：在服务端只用 apache_request_headers() 来读取数据。这个方法只管取HTTP头部信息（像 Content-Type、Host这些），而表单参数（比如 feed_them_social=yes&...）实际上藏在请求体（request body）里。你不去翻“包裹”的主体部分，当然什么也找不到。

那么，正确的姿势应该是怎样的？我们一步步来看。

第一步：客户端如何正确发送POST请求

告别 exec() 和危险的命令拼接吧。PHP内置的 file_get_contents() 配合 stream_context_create() 就能优雅、安全地完成任务。

$postdata = http_build_query([
    'feed_them_social' => 'yes',
    'refresh_token'    => get_option('custom_refresh_token'),
    'time'             => esc_html(get_option('custom_token_exp_time')),
]);

$opts = [
    'http' => [
        'method'  => 'POST',
        'header'  => "Content-type: application/x-www-form-urlencoded\r\n" .
                     "Content-Length: " . strlen($postdata) . "\r\n",
        'content' => $postdata,
    ]
];

$context = stream_context_create($opts);
$response = file_get_contents('https://my-url.com', false, $context);

if ($response === false) {
    error_log('POST request failed: ' . print_r(error_get_last(), true));
} else {
    echo '
'; print_r($response); echo '
';
}

这里有个细节值得强调：手动计算并添加 Content-Length 头是个好习惯（尽管部分环境会自动处理）。另外，HTTP头部的换行符必须使用 \r\n，这是RFC协议明确规定的，用错了某些服务器可能不认。

立即学习“PHP免费学习笔记（深入）”；

第二步：服务端如何完整接收与解析

请求成功发出后，在服务端（即 https://my-url.com 对应的脚本），你需要知道数据都分布在哪些地方，并各取所需。

// 1. 获取所有 HTTP 请求头（含自定义头）
$headers = apache_request_headers();
echo "
Request Headers:
";
foreach ($headers as $key => $value) {
    echo "$key: $value\n";
}
echo "
";

// 2. 获取已解析的 POST 参数（推荐，适用于 x-www-form-urlencoded）
echo "
POST Data (via \$_POST):
";
print_r($_POST);
echo "
";

// 3. 获取原始请求体（适用于调试或非标准编码）
echo "
Raw Request Body:
";
$rawBody = file_get_contents('php://input');
echo htmlspecialchars($rawBody);
echo "
";

这三板斧下来，请求的“来龙去脉”就一清二楚了：头部信息、PHP自动解析好的表单参数、以及最原始的请求体内容。

重要注意事项与避坑指南

方法对了，还得注意环境差异和安全隐患，以下几个点需要警惕：

• 服务器配置：确保Apache服务器启用了 mod_rewrite 或正确配置了 .htaccess，否则可能会意外“吞掉”一些请求头。如果用的是Nginx，apache_request_headers() 函数不可用，可以改用 getallheaders()，或者直接遍历 $_SERVER 超全局变量中所有以 HTTP_ 开头的键值。
• 获取响应头：file_get_contents() 默认只返回响应体。如果你还需要检查远程服务器返回的HTTP响应头，那就得换用cURL库，并设置 CURLOPT_HEADER => true 选项。
• 安全红线：这一点再怎么强调都不为过：生产环境中，严禁使用 exec()、system() 等函数去执行动态拼接的shell命令。这等于为命令注入攻击敞开了大门，是极高危的安全漏洞。使用 stream_context_create 等内置HTTP能力，才是既安全又规范的做法。

总结一下，搞定PHP中的POST请求与数据获取，关键在于理解HTTP协议的结构，并选用PHP提供的内置、安全的方法。按上述步骤操作，你就能稳定地发送数据，并在服务端可靠地捕获到完整的请求信息，让数据交互过程既清晰又安全。