QQ小程序PHP接收数据方法详解

本文详解QQ小程序与PHP后端对接的核心技术要点，涵盖JSON数据接收、登录态校验、文件上传处理及签名验证四大关键场景：强调wx.request必须显式设置Content-Type为application/json，PHP需用file_get_contents('php://input')而非$_POST读取原始请求体；登录code须由PHP后端调用QQ专属接口换取session_key，不可前端操作；文件上传需手动解析二进制流并严格校验类型、大小与安全性；签名验证则必须严格遵循ASCII升序拼接非空参数的规则，避免因参数解析失真导致验签失败——专为踩过坑的开发者提炼的QQ小程序服务端适配实战指南。

QQ小程序的 wx.request 发送数据，PHP 怎么正确接收

QQ小程序底层兼容微信小程序 API，但服务端接收逻辑不能直接照搬微信教程——QQ 小程序默认使用 application/json 发送 POST 数据，而 PHP 的 $_POST 无法直接读取 JSON body。

常见现象：PHP 脚本里 var_dump($_POST) 为空，$_GET 也拿不到参数，但用抓包工具确认请求已发出、状态码是 200。

• 必须用 file_get_contents('php://input') 读原始请求体
• QQ 小程序不自动设置 Content-Type: application/json，需在前端显式声明，否则后端解析易出错
• 若前端用 header: { 'Content-Type': 'application/x-www-form-urlencoded' }，则可用 $_POST，但字段需 URL 编码，且中文容易乱码

file_put_contents('/tmp/qq-log.txt', file_get_contents('php://input'), FILE_APPEND); // 调试时先存原始数据

QQ 小程序登录态校验：怎么拿到 code 并换 session_key

QQ 小程序调用 qq.login() 返回的 code 是一次性凭证，需发给 PHP 后端，由后端向 QQ 接口发起 HTTPS 请求换取用户标识。这一步不能在前端做，因为涉及 app_id 和 app_secret（敏感信息）。

关键点：

• QQ 登录接口地址是：https://api.q.qq.com/api/open/qqauth/jscode2session
• 必须用 GET 方式传参：appid、secret、js_code、grant_type=authorization_code
• QQ 返回的是标准 JSON，但字段名和微信不同：openid、session_key、unionid（如有绑定）都存在，没有 errcode 字段，失败时返回 error 和 error_msg

$code = $_GET['code'] ?? '';
if (!$code) {
    die(json_encode(['err' => 'missing code']));
}
$url = 'https://api.q.qq.com/api/open/qqauth/jscode2session?' . http_build_query([
    'appid' => 'your_qq_appid',
    'secret' => 'your_qq_appsecret',
    'js_code' => $code,
    'grant_type' => 'authorization_code'
]);
$result = json_decode(file_get_contents($url), true);
if (isset($result['error'])) {
    die(json_encode(['err' => $result['error_msg']]));
}

PHP 接收 QQ 小程序上传的文件（如头像、图片）

QQ 小程序暂不支持 qq.uploadFile 直接传文件到第三方服务器（仅支持上传到腾讯云对象存储），所以「PHP 接收文件」实际只适用于自建文件中转场景——即前端先用 qq.getFileSystemManager().readFile 读取二进制，再用 wx.request 以 application/octet-stream 或 base64 发送到 PHP。

此时 PHP 不走 $_FILES，而是：

• 用 file_get_contents('php://input') 拿原始字节流
• 注意判断 Content-Type 头是否为 application/octet-stream，避免和 JSON 混淆
• 保存前务必校验文件头（如 exif_imagetype()）、限制大小（$_SERVER['CONTENT_LENGTH']）、重命名（防路径遍历）

$raw = file_get_contents('php://input');
if (strlen($raw) > 5 * 1024 * 1024) { // 5MB 限制
    die('file too large');
}
$ext = image_type_to_extension(exif_imagetype($raw), false);
if (!in_array($ext, ['.jpg', '.jpeg', '.png', '.gif'])) {
    die('invalid image type');
}
file_put_contents('/path/to/uploads/' . uniqid() . $ext, $raw);

QQ 小程序签名验证（sign 参数）为什么总失败

部分 QQ 小程序接口（如支付回调、消息推送）会附带 sign 字段，要求用 app_secret 对参数做 HMAC-SHA256 签名比对。失败主因不是算法写错，而是参数排序和拼接规则被忽略。

QQ 的签名规则是：

• 所有非空参数参与签名（不含 sign 本身）
• 按参数名 ASCII 升序排列（不是键值对顺序）
• 拼接格式为：key1=value1&key2=value2（无空格、无编码、value 原样）
• 最后用 hash_hmac('sha256', $string, $app_secret) 计算，结果转小写十六进制

最容易踩的坑：json_decode(file_get_contents('php://input'), true) 后直接 ksort —— 错！因为 JSON 解析可能丢精度（如数字变科学计数），应从原始字符串中解析并保留原始类型；更稳妥做法是用 getallheaders() + $_GET + $_POST 组合还原参数源。

理论要掌握，实操不能落！以上关于《QQ小程序PHP接收数据方法详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！