最可靠方式是编码前用 unset() 或 Array_intersect_key() 删除不需要的键,而非对 json 字符串正则替换;array_intersect_key() 需传关联数组作白名单,不递归处理嵌套;深层或动态字段应使用递归过滤函数。
php 中用 json_encode() 前手动过滤数组字段最可靠
直接删掉不需要的键,比在 JSON 字符串里正则替换安全得多。PHP 没有原生“只输出指定字段的 JSON”函数,json_encode() 本身不接受字段白名单参数,硬要在编码后操作字符串,会踩空值、转义、嵌套结构等坑。
常见错误现象:json_encode($data) 输出了太多敏感字段(比如 password_hash、created_at),API 接口暴露了不该暴露的数据。
- 用
unset()或array_intersect_key()提前清理数组,再传给json_encode() - 避免用
str_replace()或preg_replace()处理已编码的 JSON 字符串——JSON 值里可能含相同字段名(如日志内容里有"id":123),误删 - 如果字段逻辑复杂(比如按角色动态过滤),封装成一个
filterJsonFields()函数,传入原始数组和允许字段列表
用 array_intersect_key() 快速保留白名单字段
适合字段名固定、层级扁平的场景,代码短且不易出错。它比循环 + unset() 更简洁,也比 array_filter() 配合 array_keys() 更直观。
示例:只保留 id、name、email
立即学习“PHP免费学习笔记(深入)”;
$whitelist = ['id' => '', 'name' => '', 'email' => '']; $filtered = array_intersect_key($user, $whitelist); echo json_encode($filtered);-
array_intersect_key()的第二个参数必须是关联数组(键存在),不能是['id','name']这样的索引数组 - 不递归处理嵌套数组,如果
$user['profile']是个子数组且也要过滤,得单独处理 - PHP 7.4+ 可配合箭头函数写成一行,但可读性下降,不推荐在关键路径上这么用
遇到嵌套数据或动态字段时,别硬套单层过滤
当数据结构含多层(如 user → posts → comments)或字段名来自配置/数据库时,硬用 array_intersect_key() 会漏掉深层字段,也难维护。
这时候该用递归白名单过滤函数,而不是拼接 JSON 后再切字符串。
- 手动写递归函数时,注意判断
is_array()和!is_object(),PHP 默认不把对象转成数组再过滤 - 如果源数据是
stdClass对象,先用(array)$obj转换,但要注意私有属性不可见 - 性能影响:深度嵌套 + 大量字段时,递归调用开销略高,但远小于后续 JSON 解码 → 修改 → 重编码的三步操作
json_encode() 的 JSON_UNESCAPED_UNICODE 等选项和字段过滤无关
有人以为加个 flag 就能控制输出字段,其实不是。JSON_UNESCAPED_UNICODE、JSON_PRETTY_PRINT 这些只改编码行为,不影响内容取舍。
典型误解:json_encode($data, JSON_UNESCAPED_UNICODE | JSON_PARTIAL_OUTPUT_ON_ERROR) 依然会输出全部字段。
-
JSON_PARTIAL_OUTPUT_ON_ERROR只在某个值无法序列化时跳过它(比如资源类型),不是按字段名过滤 - 没有
JSON_WHITELIST_FIELDS这种选项,别在文档里浪费时间找 - 如果用了 laravel、symfony 等框架,优先查它们的 API 资源类(如
JsonResource),那是更上层的字段控制方案,不是 PHP 底层能力
字段白名单逻辑越早介入越好,从数据库查询时就 select id, name, email 开始,到数组构造、再到 json_encode(),每层都守住边界。临时补个 unset() 看似简单,但容易漏掉异步任务、缓存回写、日志记录等旁路路径。