微信支付回调必须用file_get_contents('php://input')读取原始XML,经simplexml_load_string转数组后按字典序拼接非空非sign字段+密钥MD5验签,成功后立即返回纯文本success。
微信支付回调必须用原生 php://input 读取原始 XML 数据
微信服务器发起的异步通知是 POST 请求,但**不带 Content-Type: application/x-www-form-urlencoded**,也不走 PHP 的 $_POST。它发的是纯 XML(Content-Type: text/xml),且不附带任何 URL 编码参数。直接读 $_POST 或 $_REQUEST 一定是空的。
正确做法是:
- 用
file_get_contents('php://input')获取原始请求体 - 不能用
$HTTP_RAW_POST_DATA(PHP 7.0+ 已废弃,且默认关闭) - 必须在脚本开头就读,否则后续调用
php://input会返回空
$xml = file_get_contents('php://input');
if (empty($xml)) {
// 微信可能没发数据,或被中间件/代理截断
exit('fail');
}
验签前先用 simplexml_load_string() 解析并转成数组
微信返回的 XML 结构固定,但字段名大小写敏感、存在嵌套(如 simplexml_load_string() + json_decode(json_encode(...), true) 转为关联数组。
注意两点:
立即学习“PHP免费学习笔记(深入)”;
- XML 中的
会被自动剥离,内容直接作为字符串值 - 如果 XML 格式非法(比如微信重试时传了乱码),
simplexml_load_string()会返回false,必须判空并返回fail
$data = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
if ($data === false) {
exit('fail');
}
$notify = json_decode(json_encode($data), true);
验签必须按微信文档拼接字符串:字段名升序 + 不含 sign + 签名密钥末尾加
微信签名规则不是简单地把所有字段连起来,而是有严格顺序和过滤条件:
- 只取
$notify中值非空、且 key 不是sign的字段 - key 按字典序(ASCII 升序)排序,不是中文拼音,也不是 PHP 数组键顺序
- 每个
key=value用&连接,末尾**不加 &** - 最后拼上
&key=YOUR_MCH_KEY(你的商户平台「API 密钥」,32 位)
常见翻车点:
- 漏掉
trade_type或bank_type等可选字段导致签名不一致 - 把
total_fee当整数参与拼接(实际要原样字符串,如"100") - 用
md5()但没转大写(微信要求大写 HEX)
$params = [];
foreach ($notify as $k => $v) {
if ($k !== 'sign' && $v !== '' && !is_array($v)) {
$params[$k] = $v;
}
}
ksort($params);
$string = http_build_query($params, '', '&', PHP_QUERY_RFC3986);
$string .= '&key=your_32bit_mch_key';
$localSign = strtoupper(md5($string));
if ($localSign !== $notify['sign']) {
exit('fail');
}
处理成功后必须立即返回 success 纯文本,且 HTTP 状态码为 200
微信服务器收到非 success(比如 FAIL、空响应、HTML 页面、JSON 字符串)或超时(>5 秒)、状态码非 200,就会持续重试(最多 10 次,间隔不断拉长)。你不能在返回前查数据库、发邮件、调第三方 API——这些必须异步做。
安全建议:
- 先验签,再检查
$notify['result_code'] === 'SUCCESS'和$notify['return_code'] === 'SUCCESS' - 用
$notify['out_trade_no']查询本地订单是否存在且未支付,避免重复处理 - 更新订单状态后,再返回
success;哪怕 DB 写失败,也应记录日志并返回fail触发重试
if ($notify['result_code'] === 'SUCCESS' && $notify['return_code'] === 'SUCCESS') {
// 查单、更新、发消息等业务逻辑(建议丢进队列)
updateOrderStatus($notify['out_trade_no'], $notify['transaction_id']);
}
// 必须无任何输出、无换行、纯文本
echo 'success';
微信回调最常卡在「以为能读 $_POST」和「签名字符串拼错顺序或漏字段」,这两处多打几个 var_dump() 对比微信文档里的示例签名,基本就能定位。 
