微信JSAPI支付回调需用file_get_contents('php://input')读取原始XML,校验sign签名后更新订单状态,返回严格格式SUCCESS XML并确保HTTP 200响应。
PHP默认不会自动解析微信发来的XML格式通知,$_POST 是空的,file_get_contents('php://input') 才是唯一可靠入口。很多开发者卡在这一步,误以为要靠 $_GET 或表单提交方式接收。
POST 请求,且 Content-Type 为 application/xml,不是 application/x-www-form-urlencoded
$_POST 只处理表单编码数据,对纯 XML 无响应,必须手动读取原始请求体header('HTTP/1.1 200 OK'),否则微信会反复重试(最多5次)不能直接用 simplexml_load_string() 后就信任所有字段——微信通知可能被伪造,必须校验签名。签名字段 sign 是对除 sign 外所有字段按字典序拼接后,用商户密钥 key 做 MD5 计算得出。
simplexml_load_string($rawData) 解析,再转成关联数组(注意 asXML() 和属性处理)sign 字段后,对剩余字段按键名升序排序,拼成 key1=value1&key2=value2 格式&key=YOUR_MCH_KEY,再
strtoupper(md5($string))
sign 是否一致,不一致立即返回 fail
function getSignFromXml($xmlString, $mchKey) {
$data = json_decode(json_encode(simplexml_load_string($xmlString, 'SimpleXMLElement', LIBXML_NOCDATA)), true);
if (!isset($data['sign'])) return false;
unset($data['sign']);
ksort($data);
$string = http_build_query($data, '', '&', PHP_QUERY_RFC3986);
$string = str_replace(['+', '%20'], [' ', '+'], $string); // 修复 http_build_query 对空格的编码问题
$string .= '&key=' . $mchKey;
return strtoupper(md5($string));
}
微信可能因网络问题多次推送同一笔通知,PHP脚本必须具备幂等性。不能只靠数据库 UPDATE,得先查、再判、再改,且整个过程需加锁或依赖唯一业务字段约束。
out_trade_no(你系统生成的订单号),这是唯一可信赖的业务标识success,直接返回 success;若为 pending,才执行状态更新和后续逻辑(如发货、积分发放)WHERE status = 'pending' 条件,防止并发场景下重复执行成功逻辑// 示例:原子化更新订单状态
$sql = "UPDATE orders SET status = 'paid', paid_at = NOW() WHERE out_trade_no = ? AND status = 'pending'";
$stmt = $pdo->prepare($sql);
$stmt->execute([$outTradeNo]);
if ($stmt->rowCount() === 0) {
// 已处理过,直接返回 success
echo '
success XML 还被微信不断重发表面返回了正确XML,但实际HTTP状态码不是200,或者响应体里混入了空格、BOM头、调试输出,都会导致微信判定失败。这是最隐蔽也最常见的坑。
echo、var_dump、print_r,甚至 error_log 都可能干扰输出\xEF\xBB\xBF)curl -v https://yourdomain.com/notify.php 检查响应头和响应体是否干净真正稳定的回调处理,核心不在解析多复杂,而在于每一步都做防御性判断,并把“不可信输入”和“不可控网络”当作默认前提。尤其注意 php://input 的一次性读取特性——读完就没了,别在中间 die() 或抛异常后还想再读一次。