php如何获取HTTP请求头？PHP获取HTTP请求头信息方法-php教程-PHP中文网

答案：PHP中获取HTTP请求头主要通过$_SERVER和getallheaders()函数。$_SERVER适用于所有环境，标准头以HTTP_前缀存储，性能高但需手动处理键名转换；getallheaders()返回原始头名称的关联数组，更直观但可能在FastCGI环境下不可用。实际开发中推荐优先使用getallheaders()并配合function_exists检查，回退到$_SERVER遍历处理。对于特定头，直接访问$_SERVER['HTTP_XXX']并用??运算符安全取值。自定义头遵循相同规则，需注意Nginx等服务器需显式配置fastcgi_param传递非标准头。安全性方面，所有请求头应视为不可信输入，输出时须转义防XSS，参与SQL查询时应预处理防注入。

php如何获取http请求头？php获取http请求头信息方法

在PHP中，获取HTTP请求头信息主要依赖于

$_SERVER

登录后复制

超全局变量和

getallheaders()

登录后复制

函数。这两种方法各有侧重，理解它们的特性与适用场景，能帮助我们更灵活、高效地处理Web请求。

解决方案

谈到PHP里如何捞取HTTP请求头，我首先想到的就是

$_SERVER

登录后复制

这个“万能”的超全局变量。它简直是PHP与Web服务器之间沟通的桥梁，里面塞满了各种服务器和执行环境的信息，当然也包括了我们关心的HTTP请求头。

通常，标准HTTP请求头（比如

User-Agent

登录后复制

Accept

登录后复制

Host

登录后复制

等）在

$_SERVER

登录后复制

中会以

HTTP_

登录后复制

为前缀，并把原始头名称中的连字符（

登录后复制

）替换成下划线（

登录后复制

），然后全部大写。举个例子，如果你想获取

User-Agent

登录后复制

，那就是

$_SERVER['HTTP_USER_AGENT']

登录后复制

。这套规则说起来有点绕，但在实际开发中用多了也就习惯了。

<?php
// 获取常见的HTTP请求头
$userAgent = $_SERVER['HTTP_USER_AGENT'] ?? '未知User-Agent';
$acceptLanguage = $_SERVER['HTTP_ACCEPT_LANGUAGE'] ?? '未知语言偏好';
$host = $_SERVER['HTTP_HOST'] ?? '未知主机';
$contentType = $_SERVER['CONTENT_TYPE'] ?? '未知内容类型'; // 注意：Content-Type和Content-Length有些特殊，通常不带HTTP_前缀

echo "User-Agent: " . htmlspecialchars($userAgent) . "<br>";
echo "Accept-Language: " . htmlspecialchars($acceptLanguage) . "<br>";
echo "Host: " . htmlspecialchars($host) . "<br>";
echo "Content-Type: " . htmlspecialchars($contentType) . "<br>";

// 遍历所有HTTP_*开头的$_SERVER变量，这可以粗略地看到所有请求头
echo "<h3>通过\$_SERVER遍历所有HTTP请求头:</h3>";
foreach ($_SERVER as $key => $value) {
    if (str_starts_with($key, 'HTTP_')) {
        echo htmlspecialchars($key) . ": " . htmlspecialchars($value) . "<br>";
    }
}
?>

登录后复制

然而，

$_SERVER

登录后复制

虽然强大，但它在获取“所有”请求头时，需要我们手动筛选那些

HTTP_

登录后复制

开头的键，而且对于一些非标准或自定义的请求头，其命名转换规则可能不那么直观，甚至可能出现遗漏。这时候，

getallheaders()

登录后复制

函数就显得非常优雅和方便了。

立即学习“PHP免费学习笔记（深入）”；

getallheaders()

登录后复制

会返回一个关联数组，键是原始的HTTP请求头名称（比如

User-Agent

登录后复制

，而不是

HTTP_USER_AGENT

登录后复制

），值就是对应的内容。我个人更倾向于在需要获取所有请求头或处理自定义头时使用它，因为它返回的数据结构更符合直觉。

<?php
// 使用getallheaders()获取所有请求头
if (function_exists('getallheaders')) {
    $headers = getallheaders();
    echo "<h3>通过getallheaders()获取所有请求头:</h3>";
    foreach ($headers as $name => $value) {
        echo htmlspecialchars($name) . ": " . htmlspecialchars($value) . "<br>";
    }
} else {
    echo "<p>getallheaders() 函数不可用，可能由于PHP运行环境限制（如某些FastCGI配置）。</p>";
    // 在getallheaders()不可用时，可以回退到使用$_SERVER的逻辑
    echo "<h3>回退到\$_SERVER遍历HTTP请求头:</h3>";
    foreach ($_SERVER as $key => $value) {
        if (str_starts_with($key, 'HTTP_')) {
            echo htmlspecialchars($key) . ": " . htmlspecialchars($value) . "<br>";
        }
    }
}
?>

登录后复制

这里有个小坑，

getallheaders()

登录后复制

函数并不是在所有PHP运行环境下都可用，特别是在某些FastCGI配置中，它可能默认是不存在的。所以，在实际项目中，最好先用

function_exists('getallheaders')

登录后复制

判断一下，做个兼容性处理。

PHP中获取特定HTTP请求头的高效与安全实践

在PHP应用中，我们常常只关心少数几个特定的HTTP请求头，而不是一股脑地把所有头都取出来。比如，判断用户设备类型通常看

User-Agent

登录后复制

，处理API认证可能看

Authorization

登录后复制

，或者追踪请求来源看

Referer

登录后复制

。高效地获取这些特定头，并确保其安全性，是开发中需要考虑的。

最直接且高效的方法当然是直接通过

$_SERVER['HTTP_HEADER_NAME_UPPERCASE']

登录后复制

来访问。这种方式的性能开销极小，因为

$_SERVER

登录后复制

是PHP启动时就填充好的。但这里有个点需要注意：请求头可能不存在。如果直接访问一个不存在的键，PHP会抛出一个

Undefined index

登录后复制

的通知（Notice），这在生产环境中是不应该出现的。

为了避免这种情况，我们可以使用PHP 7引入的空合并运算符（

??

登录后复制

）或者传统的

isset()

登录后复制

函数来安全地获取。

<?php
// 获取User-Agent，并提供默认值
$userAgent = $_SERVER['HTTP_USER_AGENT'] ?? 'Unknown';
echo "User-Agent: " . htmlspecialchars($userAgent) . "<br>";

// 获取Authorization头，常用于API认证
$authorizationHeader = $_SERVER['HTTP_AUTHORIZATION'] ?? null;
if ($authorizationHeader) {
    echo "Authorization: " . htmlspecialchars($authorizationHeader) . "<br>";
    // 进一步处理，例如解析Bearer Token
    if (str_starts_with($authorizationHeader, 'Bearer ')) {
        $token = substr($authorizationHeader, 7);
        echo "Bearer Token: " . htmlspecialchars($token) . "<br>";
    }
} else {
    echo "Authorization Header is missing.<br>";
}

// 假设我们有一个自定义头 'X-Request-ID'
$requestId = $_SERVER['HTTP_X_REQUEST_ID'] ?? 'N/A';
echo "Request ID: " . htmlspecialchars($requestId) . "<br>";
?>

登录后复制

使用

??

登录后复制

运算符的好处是代码简洁，且能直接提供一个默认值，避免了额外的条件判断。如果需要对值进行更复杂的处理或验证，

isset()

登录后复制

结合

if

登录后复制

语句则提供了更大的灵活性。

安全性方面，从请求头获取的任何信息都应该被视为用户输入，这意味着它们是不可信的。在将这些信息用于数据库查询、文件操作或任何可能影响系统安全的操作之前，务必进行严格的过滤、验证和转义。例如，将请求头内容输出到HTML页面时，务必使用

htmlspecialchars()

登录后复制

或

htmlentities()

登录后复制

防止XSS攻击。如果用作SQL查询的一部分，则必须使用预处理语句或ORM来防止SQL注入。

PatentPal专利申请写作

AI软件来为专利申请自动生成内容

查看详情

处理PHP中缺失或自定义HTTP请求头的策略

在实际开发中，我们经常会遇到两种情况：一是某个预期的HTTP请求头可能根本不存在；二是我们需要处理客户端发送的自定义请求头。对这两种情况的健壮处理，是构建可靠Web应用的关键。

对于缺失的请求头，我们上面提到了使用

??

登录后复制

运算符提供默认值，这是最常见的策略。但如果默认值不足以解决问题，比如某个头是业务逻辑的强制要求，缺失时需要报错，那么就需要更明确的判断。

<?php
// 策略一：强制要求某个头，缺失则报错
$requiredHeader = $_SERVER['HTTP_X_API_KEY'] ?? null;
if (is_null($requiredHeader)) {
    header('HTTP/1.1 400 Bad Request');
    die('Error: Missing X-API-Key header.');
}
echo "API Key: " . htmlspecialchars($requiredHeader) . "<br>";

// 策略二：根据头是否存在来调整行为
$isAjaxRequest = isset($_SERVER['HTTP_X_REQUESTED_WITH']) && $_SERVER['HTTP_X_REQUESTED_WITH'] === 'XMLHttpRequest';
if ($isAjaxRequest) {
    echo "This is an AJAX request.<br>";
    // 执行AJAX特定的逻辑
} else {
    echo "This is a regular browser request.<br>";
    // 执行常规页面渲染逻辑
}
?>

登录后复制

对于自定义请求头，PHP处理起来也相当直接。只要客户端发送的自定义头符合HTTP规范（通常以

X-

登录后复制

开头，但这不是强制的），并且Web服务器将其正确传递给PHP，那么它们也会出现在

$_SERVER

登录后复制

中，同样以

HTTP_

登录后复制

为前缀，连字符转下划线，全部大写。

比如，客户端发送一个

X-My-Custom-Data: some_value

登录后复制

的请求头，在PHP中你就可以通过

$_SERVER['HTTP_X_MY_CUSTOM_DATA']

登录后复制

来获取。如果使用

getallheaders()

登录后复制

，则可以直接通过

$headers['X-My-Custom-Data']

登录后复制

访问。我个人觉得，对于自定义头，使用

getallheaders()

登录后复制

会更直观，因为它保留了原始的头名称，减少了猜测和转换的步骤。

<?php
// 处理自定义请求头
if (function_exists('getallheaders')) {
    $headers = getallheaders();
    $customData = $headers['X-My-Custom-Data'] ?? 'No custom data provided';
    echo "Custom Data (from getallheaders): " . htmlspecialchars($customData) . "<br>";
} else {
    // 回退到$_SERVER
    $customData = $_SERVER['HTTP_X_MY_CUSTOM_DATA'] ?? 'No custom data provided (via $_SERVER)';
    echo "Custom Data (from \$_SERVER): " . htmlspecialchars($customData) . "<br>";
}

// 另一个例子：处理带有特殊字符的自定义头，虽然不常见，但也要考虑
// 假设客户端发送：X-User-Info: {"id":123, "name":"Test"}
$userInfoJson = $_SERVER['HTTP_X_USER_INFO'] ?? null;
if ($userInfoJson) {
    echo "User Info JSON: " . htmlspecialchars($userInfoJson) . "<br>";
    $userInfo = json_decode($userInfoJson, true);
    if (json_last_error() === JSON_ERROR_NONE) {
        echo "Decoded User ID: " . htmlspecialchars($userInfo['id']) . "<br>";
    } else {
        echo "Failed to decode User Info JSON.<br>";
    }
}
?>

登录后复制

关键在于，无论是标准头还是自定义头，我们都应该始终假定它们可能不存在，并编写能够优雅处理这些情况的代码。这不仅提升了应用的健壮性，也让调试和维护变得更加容易。

PHP不同运行环境下HTTP请求头获取的兼容性与注意事项

PHP的灵活性体现在它可以在多种Web服务器和运行模式下工作，但这同时也带来了一些兼容性上的细微差别，尤其是在获取HTTP请求头方面。这可不是什么小问题，有时候一个简单的

getallheaders()

登录后复制

调用就可能让你抓狂。

最常见的PHP运行环境包括：

Apache + mod_php： 这是传统模式，PHP作为Apache模块运行。在这种环境下，
```
$_SERVER
```
登录后复制
和
```
getallheaders()
```
登录后复制
通常都能完美工作。Apache会很慷慨地把所有请求头信息都填充到PHP的执行环境中。
Apache + PHP-FPM： PHP-FPM（FastCGI Process Manager）作为独立的进程运行，Apache通过FastCGI协议与PHP-FPM通信。在这种模式下，
```
$_SERVER
```
登录后复制
依然可靠，但
```
getallheaders()
```
登录后复制
的可用性可能会受到Apache FastCGI模块配置的影响。某些情况下，可能需要确保Apache的FastCGI配置正确地将所有请求头传递给了PHP-FPM。
Nginx + PHP-FPM： 这是现代Web服务的主流组合。Nginx作为高性能反向代理，将PHP请求转发给PHP-FPM处理。在这种配置下，
```
$_SERVER
```
登录后复制
对于标准头通常是没问题的。但
```
getallheaders()
```
登录后复制
就有点“挑剔”了。默认情况下，Nginx只传递一部分标准请求头给PHP-FPM。如果需要获取所有请求头，特别是自定义头，你需要在Nginx的
```
fastcgi_param
```
登录后复制
配置中明确地将它们传递过去。

举个Nginx的例子，如果你想让PHP获取

Authorization

登录后复制

和

X-Custom-Header

登录后复制

，你的Nginx配置（通常在

location ~ \.php$

登录后复制

块中）可能需要这样设置：

location ~ \.php$ {
    # ... 其他配置 ...
    include fastcgi_params; # 包含默认的fastcgi参数
    fastcgi_pass unix:/var/run/php/php-fpm.sock; # 或你的PHP-FPM监听地址

    # 显式传递所有HTTP请求头
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param PATH_INFO $fastcgi_path_info;
    # 这一行是关键，它将所有以HTTP_开头的请求头传递给PHP的$_SERVER
    # 对于getallheaders()，Nginx通常会将其作为HTTP_XYZ_HEADER传递，然后PHP再解析
    fastcgi_param HTTP_AUTHORIZATION $http_authorization;
    fastcgi_param HTTP_X_CUSTOM_HEADER $http_x_custom_header;
    # 或者更通用的做法，遍历所有头，但这需要Nginx模块支持
    # 很多时候，我们会发现HTTP_AUTHORIZATION这样的头，即使不显式配置也会被传递
    # 但自定义头则往往需要手动配置
}

登录后复制

这里需要强调的是，Nginx会将所有请求头转换为