curl 初始化后必须设置 CURLOPT_RETURNTRANSFER=true 以返回响应字符串而非直接输出,否则导致页面错乱或jsON解析失败;需同时设置超时参数、正确处理POST数据格式、ssl验证及错误检查。
curl_init 后必须显式设置 CURLOPT_RETURNTRANSFER
默认情况下 curl_exec 直接输出响应体,而不是返回字符串——这会导致服务调用后页面内容错乱、json 解析失败或空响应。几乎所有接口调用都应加这一句:
$ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);- 不设此选项时,
curl_exec返回bool(true),实际响应已刷到输出缓冲 - 如果启用了
output_buffering,还可能被后续echo或框架渲染意外截断 - 和
curl_setopt($ch, CURLOPT_HEADER, false)搭配使用更稳妥,避免响应头混入 body
超时必须设 CURLOPT_TIMEOUT 和 CURLOPT_CONNECTTIMEOUT
不设超时的 cURL 请求在目标服务卡死、dns 慢或网络抖动时会阻塞整个 php 进程(尤其在 CLI 或同步 Web 请求中),严重拖垮并发能力。
-
CURLOPT_CONNECTTIMEOUT控制 TCP 连接建立阶段上限(建议 3–5 秒) -
CURLOPT_TIMEOUT控制整个请求生命周期(含传输,建议 10–30 秒,依业务容忍度调整) - 注意:这两个值不能为 0,设 0 表示无限等待,生产环境严禁
- 若需更高精度控制,可配合
CURLOPT_NOSIGNAL(防止 SIGALRM 干扰)
POST 请求要区分数据格式:CURLOPT_POSTFIELDS vs CURLOPT_httpHEADER
发 JSON 接口最常踩坑:只设了 Content-Type: application/json,却用数组传 CURLOPT_POSTFIELDS,结果服务端收不到 $_POST 或解析为空。
- 传 JSON 时:
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode($data))+ 手动加Content-Type头 - 传表单(
application/x-www-form-urlencoded):直接传关联数组,cURL 自动编码,无需手动json_encode - 传文件:必须用
@/path/to/file(PHP 5.6+ 推荐用CurlFile对象) - 误用
CURLOPT_POSTFIELDS传数组发 JSON,服务端收到的是空或原始字符串,不是解析后的对象
记得关掉 CURLOPT_SSL_VERIFYPEER(仅限测试环境)
调用 https 接口时,若服务端证书异常(自签、过期、域名不匹配),curl_exec 会直接失败并报错 SSL certificate problem: unable to get local issuer certificate。
立即学习“PHP免费学习笔记(深入)”;
- 线上环境必须保留
CURLOPT_SSL_VERIFYPEER => true和CURLOPT_CaiNFO指向可信 CA 文件 - 开发或内网测试可临时关闭验证:
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false),但务必加注释并禁止提交到主干 - 更安全的替代方案是配置
CURLOPT_CAINFO指向系统或自维护的证书 bundle 路径(如/etc/ssl/certs/ca-certificates.crt)
真正容易被忽略的是错误处理闭环:每次 curl_exec 后必须检查 curl_errno($ch) 和 curl_error($ch),否则网络失败、超时、SSL 错误全被静默吞掉。别只盯着 HTTP 状态码。