最稳妥的邮箱正则为/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,}$/,仅作基础过滤;手机号须用/^1[3-9]\d{9}$/并预清洗;preg_match返回false需用preg_last_error()判错,不可直接等同不匹配。
preg_match 验证邮箱的正则写法和常见坑
直接用 preg_match 做邮箱验证,别信网上抄来的超长正则——RFC 5322 兼容的表达式根本没法在 PHP 里安全用,反而会漏掉合法邮箱或误杀。实际项目中,推荐用「宽松校验 + DNS 检查」组合,而 preg_match 只负责基础格式过滤。
最稳妥的入门级正则:
/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/
- 开头
[a-zA-Z0-9._%+-]+匹配用户名部分,允许点、下划线、百分号、加号、减号(注意:连字符不能放末尾,否则被当范围符) -
@必须存在且只出现一次 - 域名部分
[a-zA-Z0-9.-]+允许字母、数字、点、短横线;但不能以点或短横线开头/结尾(正则本身不检查这点,需额外逻辑) - 顶级域要求至少两个字母:
\.[a-zA-Z]{2,},避免匹配user@domain.c
注意:这个正则不支持中文邮箱(如 张三@公司.cn),也不处理 IDN 域名(需先用 idn_to_ascii() 转换)。
preg_match 验证手机号的写法要按国家区分
中国手机号必须用 ^1[3-9]\d{9}$,不能简单写成 ^\d{11}$——那会匹配 00000000000 或 12345678901 这类无效号。
立即学习“PHP免费学习笔记(深入)”;
关键点:
- 必须以
1开头,第二位是[3-9](排除10、11、12等非号段) - 后面紧跟 9 位数字:
\d{9},总长严格为 11 位 - 不要加
u修饰符——手机号不含 Unicode 字符,加了反而可能因 PCRE 版本差异出问题 - 如果输入带空格、括号、短横线(如
138-1234-5678),得先用str_replace清洗:$phone = str_replace([' ', '-', '(', ')'], '', $phone);
海外号码更复杂,比如美国用 ^\(?([0-9]{3})\)?[-. ]?([0-9]{3})[-. ]?([0-9]{4})$,但建议交给专门库(如 libphonenumber)处理,preg_match 不适合做国际号码解析。
为什么 preg_match 返回 false 不等于“不匹配”
这是最常踩的坑:preg_match 在发生错误时(比如正则语法错、内存超限、UTF-8 字节序列非法)也会返回 false,而不是 0。
正确判断方式:
- 先检查返回值是否 ===
false,是则调用preg_last_error()查错 - 再判断是否 ==
1(匹配成功)或 ==0(无匹配) - 例如邮箱校验应这样写:
if (preg_match($pattern, $email) === false) { throw new InvalidArgumentException('正则执行失败:' . preg_last_error_msg()); } $is_valid = preg_match($pattern, $email) === 1;
特别注意:如果传入的字符串是 null 或未定义变量,preg_match 会静默转为空字符串,导致误判。务必先用 is_string() 和 trim() 做前置校验。
性能与安全:别在循环里反复编译正则
PHP 会缓存最近使用的正则(PCRE JIT 启用时更明显),但频繁调用仍可能触发重复编译。尤其在表单批量验证场景下,把正则字符串提成常量或静态变量能稳住性能。
示例对比:
- ❌ 每次都传字符串:
preg_match('/^\d{11}$/', $phone) - ✅ 提前编译(PHP 7.4+ 推荐):
const PHONE_PATTERN = '/^1[3-9]\d{9}$/'; preg_match(PHONE_PATTERN, $phone);
另外,永远不要拼接用户输入进正则(如 "/{$user_input}@example.com/"),这会导致 PCRE 注入——攻击者可注入 (?e) 或超长回溯表达式引发拒绝服务。必须对动态部分做 preg_quote($user_input, '/') 转义。
真正难的不是写出一个“看起来能用”的正则,而是想清楚你要拦住什么、允许什么、以及当它失效时系统会不会崩。邮箱和手机号的边界案例太多,正则只是第一道筛子,后面还得靠 SMTP 探针、短信回填、运营商 API 校验来兜底。
