PHP参数乱码根本原因是HTTP编码、PHP解码逻辑与脚本文件编码三者不一致;+号变空格是因application/x-www-form-urlencoded规范将+视为空格;中文/emoji乱码需统一UTF-8编码链路;输出须用htmlspecialchars('UTF-8')等场景化处理。
pecialchars('UTF-8')等场景化处理。PHP 接收含特殊符号(如中文、emoji、&、+、% 等)的参数时出现乱码,根本原因不是“没转义”,而是 HTTP 编码、PHP 解码逻辑 和 脚本文件编码 三者不一致。直接对 $_GET 或 $_POST 做 urlencode() 或 htmlspecialchars() 反而会二次编码,让问题更糟。
为什么 $_GET['q'] = '测试+123' 里 + 变成空格?
因为 PHP 默认用 application/x-www-form-urlencoded 规则解析 URL 参数:URL 中的 + 被当成空格处理,这是 RFC 1738 的规定,不是 bug。浏览器发请求时已把空格编码为 +,PHP 收到后自动还原为空格。
解决方法不是“过滤 +”,而是统一用 rawurldecode() 替代默认解码逻辑(仅当明确需要保留原始字节时):
$raw_q = $_GET['q'] ?? ''; $q_decoded = rawurldecode($raw_q); // 保持 %2B 不变,不把 + 当空格
但更稳妥的做法是:前端发请求时改用 encodeURIComponent()(JS)或 urllib.parse.quote()(Python),并确保 URL 路径本身不含未编码的特殊字符。
中文/emoji 在 $_POST 中显示为 或乱码?
典型现象:$_POST['name'] 输出 æµè¯ 或一堆问号,说明传输链路中某处用了非 UTF-8 编码。关键检查点:
- HTML 表单必须声明
,且未设置accept-charset覆盖它 - PHP 脚本文件本身保存为 UTF-8 无 BOM 格式(用 VS Code / Sublime 检查右下角编码)
- Apache/Nginx 未强制输出
Content-Type: text/html; charset=iso-8859-1(检查响应头) - 数据库连接未执行
SET NAMES utf8mb4(若存入 MySQL)
验证当前编码是否生效:
var_dump(bin2hex($_POST['name'])); // 正常中文应是类似 "e6b58be8af95"若看到
3f3f3f(即 ? ? ? 的 hex),说明 PHP 已在接收阶段丢弃了原始字节。
如何安全地输出用户提交的含 HTML/JS 的参数?
不能依赖 addslashes() 或手动替换 ,它不防 XSS,也不处理 UTF-8 多字节边界。正确做法分场景:
- 输出到 HTML 文本内容:
htmlspecialchars($str, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8') - 输出到 HTML 属性值(如
value="..."):htmlspecialchars($str, ENT_QUOTES | ENT_HTML5, 'UTF-8') - 插入到 JavaScript 字符串:
json_encode($str, JSON_UNESCAPED_UNICODE | JSON_HEX_TAG),再用echo直接输出到内 - 拼接 SQL 查询(强烈建议改用 PDO 预处理):
mysqli_real_escape_string()仅限旧代码,且必须传入有效连接句柄
注意:htmlspecialchars() 第三个参数必须显式写 'UTF-8',否则 PHP 5.4+ 默认用 ISO-8859-1,会导致中文被截断或替换成 。
$_REQUEST 和自动全局变量的编码陷阱
$_REQUEST 是 $_GET、$_POST、$_COOKIE 的合并数组,但它不保证三者解码方式一致。例如 Cookie 值可能被浏览器用 escape()(已废弃)编码,而 PHP 用 urldecode() 解析,导致中文错乱。
规避方案:
- 永远不要读
$_REQUEST,明确用$_GET或$_POST - Cookie 值统一用
setcookie('key', rawurlencode($val), [...]),读取时用rawurldecode($_COOKIE['key']) - 禁用
magic_quotes_gpc(PHP htmlspecialchars() 冲突
最易被忽略的一点:Nginx 的 client_max_body_size 或 Apache 的 LimitRequestBody 设得太小,导致含 emoji 的 POST 请求被截断,PHP 只收到半截字符串——此时 mb_strlen() 和 strlen() 结果不一致,但错误日志里不会报编码问题,只会静默出错。
