PHP接收Ajax数据需据Content-Type区分处理:JSON需读php://input并json_decode;FormData走$_POST/$_FILES;默认x-www-form-urlencoded直接用$_POST。
PHP怎么接收Ajax提交的表单数据
Ajax提交表单时,$_POST 不一定能直接拿到数据——关键看前端用什么方式发的。如果前端用 fetch 或 XMLHttpRequest 发的是 application/json,那 PHP 默认根本不会解析进 $_POST,必须手动读取原始输入。
- 表单用
FormData提交(含文件或普通字段)→ 数据在$_POST和$_FILES中可用 - 用
JSON.stringify()发送 → 必须用file_get_contents('php://input')读取,再json_decode() - 用
jQuery.ajax()且没设contentType→ 默认是application/x-www-form-urlencoded,走$_POST
if (isset($_SERVER['CONTENT_TYPE']) && strpos($_SERVER['CONTENT_TYPE'], 'application/json') !== false) {
$raw = file_get_contents('php://input');
$data = json_decode($raw, true);
if (json_last_error() !== JSON_ERROR_NONE) {
http_response_code(400);
exit('Invalid JSON');
}
} else {
$data = $_POST;
}
$_POST为空?检查Content-Type和编码方式
常见错误:前端发了 JSON,但 PHP 脚本只写 print_r($_POST),结果空数组。这不是 PHP 问题,是协议不匹配。
-
Content-Type: application/json→ PHP 不自动解析,$_POST永远为空 -
Content-Type: multipart/form-data→ 只有FormData且含文件时才触发,此时$_POST仍可读普通字段 -
Content-Type缺失或为text/plain→php://input可读,但需自行解析,$_POST无效
处理带文件的Ajax表单(FormData + PHP)
用 FormData 是上传文件唯一可靠方式,但后端容易忽略两点:一是 $_FILES 键名对应前端 append() 的第一个参数;二是 PHP 配置限制(如 upload_max_filesize)会静默失败。
- 前端:
formData.append('avatar', fileInput.files[0])→ 后端用$_FILES['avatar'] - 检查
$_FILES['avatar']['error'] === UPLOAD_ERR_OK,别只看是否非空 - 移动临时文件必须用
move_uploaded_file($_FILES['avatar']['tmp_name'], $dest),不能用copy()
$targetDir = __DIR__ . '/uploads/';
if (!is_dir($targetDir)) mkdir($targetDir, 0755, true);
$fileName = uniqid() . '_' . basename($_FILES['avatar']['name']);
$targetPath = $targetDir . $fileName;
if ($_FILES['avatar']['error'] === UPLOAD_ERR_OK) {
if (move_uploaded_file($_FILES['avatar']['tmp_name'], $targetPath)) {
echo json_encode(['status' => 'success', 'path' => $targetPath]);
} else {
http_response_code(500);
echo json_encode(['error' => 'Failed to save file']);
}
} else {
http_response_code(400);
echo json_encode(['error' => 'Upload error: ' . $_FILES['avatar']['error']]);
}
安全边界:别信任何客户端传来的字段名或类型
Ajax请求和普通表单一样可被任意篡改,$_POST 或 json_decode 出来的数据必须当作不可信输入处理。
立即学习“PHP免费学习笔记(深入)”;
- 用
filter_input()或filter_var()校验类型(如邮箱、整数),别只用isset()或empty() - 数据库写入前必须预处理(PDO/MySQLi 参数绑定),绝不用字符串拼接 SQL
- 输出到 HTML 前用
htmlspecialchars(),尤其当数据可能回显到页面 - 敏感操作(删账号、改密码)必须验证 session 或 token,不能只靠 Ajax 请求头
error_log(print_r($_SERVER, true)); error_log(print_r($_POST, true)); error_log(file_get_contents('php://input'));,比猜快得多。 
