php调用视频审核API前须校验文件真实MIME类型(用finfo_open)、大小(≤200MB)及格式(如video/mp4),并以二进制流方式通过curl上传,设置正确Content-Type与Content-Length;异步结果需验签、轮询限频、本地文件及时清理。
PHP调用视频审核API前必须校验文件类型和大小
直接上传任意文件给审核服务大概率失败,不是接口报错就是误判。PHP端需在提交前做基础过滤,否则后续所有逻辑都白搭。
-
$_FILES['video']['type']不可靠,浏览器可伪造,必须用finfo_open()读取真实 MIME 类型 - 视频文件建议限制在
200MB以内,太大容易超时或被云服务拒绝;可用$_FILES['video']['size']检查 - 支持的格式优先按审核平台要求来,常见如
video/mp4、video/quicktime、video/x-ms-wmv,其他类型应直接拦截
使用cURL发送视频二进制流到审核接口(非表单上传)
多数云审核服务(如阿里云VCR、腾讯云VOD审核、百度内容安全)要求以 POST 方式提交原始视频流,而非 multipart/form-data 表单。PHP默认的 curl_setopt($ch, CURLOPT_POSTFIELDS, $_FILES...) 会自动转成表单,导致签名失败或解析错误。
- 必须用
fopen($_FILES['video']['tmp_name'], 'rb')打开临时文件,再传给curl_setopt($ch, CURLOPT_UPLOAD, true) - 设置
Content-Type为真实 MIME 类型(如video/mp4),不能写application/octet-stream(部分平台校验严格) - 记得设置
Content-Length头,值为filesize($_FILES['video']['tmp_name']),否则某些服务返回411 Length Required
if ($fp = fopen($_FILES['video']['tmp_name'], 'rb')) { $ch = curl_init('https://openapi.example.com/v1/video/audit'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_CUSTOMREQUEST, 'POST'); curl_setopt($ch, CURLOPT_UPLOAD, true); curl_setopt($ch, CURLOPT_INFILE, $fp); curl_setopt($ch, CURLOPT_INFILESIZE, filesize($_FILES['video']['tmp_name'])); curl_setopt($ch, CURLOPT_HTTPHEADER, [ 'Content-Type: video/mp4', 'Content-Length: ' . filesize($_FILES['video']['tmp_name']), 'Authorization: Bearer ' . $token ]); $response = curl_exec($ch); fclose($fp); curl_close($ch); }处理审核结果回调或轮询时注意状态码和字段一致性
审核不是实时返回结果,PHP后端要么等异步回调(需暴露公网可访问地址),要么主动轮询 /v1/audit/result?task_id=xxx。无论哪种方式,都不能只看 HTTP 状态码是否为 200。
- 响应体中关键字段通常是
status(success/failed)、review_status(pass/block/review)、label(如porn、terrorism)——这些字段名各平台不统一,必须对照文档硬匹配 - 回调地址必须验证
X-Signature或Authorization头,防止伪造请求;轮询时要加sleep(2)避免高频触发限流 - 审核失败(
status === "failed")不等于内容违规,可能是转码失败、文件损坏、超时,需记录error_message字段用于排查
本地暂存与清理策略影响审核链路稳定性
从用户上传到发起审核之间,PHP通常会把视频先保存到临时目录。这个环节出问题,整个流程就断了。
立即学习“PHP免费学习笔记(深入)”;
- 不要依赖
$_FILES['video']['tmp_name']长期有效——脚本结束或超时后该路径即失效;必须move_uploaded_file()到可控目录,且路径不能含中文或空格 - 审核完成后,不管结果如何,都要显式
unlink()临时文件;若审核失败又没删,磁盘可能被撑爆 - 高并发下多个请求共用同一临时名会导致覆盖,建议用
uniqid() . '_' . $_FILES['video']['name']构造唯一文件名
审核链路里最易被忽略的是:回调验签逻辑写在框架中间件里,但实际回调请求可能被 cdn 或 WAF 拦截/改写头信息,导致签名验证失败;这种问题不会出现在本地测试中,上线后才暴露。