在现代Web应用中，短信通知是用户认证、营销推送和安全预警的重要渠道。本文将深入解析一个PHP短信发送函数的实现原理，并通过代码优化展示如何提升其安全性、可靠性和性能。

核心实现原理

短信发送的基本原理是通过HTTP请求调用第三方短信服务API。以下是一个典型的实现示例：

sms_sender.php

1. function send($code, $phone, $message): void 
2. { 
3.     try { 
4.         // 参数验证 
5.         if (emptyempty($code) || emptyempty($phone) || emptyempty($message)) { 
6.             throw new InvalidArgumentException("手机号和短信内容不能为空"); 
7.         } 
8.           
9.         // 数据准备 
10.         $messages = [ 
11.             ['to' => $code . $phone, 'body' => $message], 
12.         ]; 
13.           
14.         // 初始化cURL 
15.         $ch = curl_init(); 
16.           
17.         // 设置请求头 
18.         $headers = [ 
19.             'Content-Type: application/json', 
20.             'Authorization: Basic ' . base64_encode("test:123456") 
21.         ]; 
22.           
23.         // 配置cURL选项 
24.         curl_setopt_array($ch, [ 
25.             CURLOPT_HTTPHEADER     => $headers, 
26.             CURLOPT_URL            => "https://api.tekin.cn/sms", 
27.             CURLOPT_POST           => 1, 
28.             CURLOPT_RETURNTRANSFER => 1, 
29.             CURLOPT_POSTFIELDS     => json_encode($messages), 
30.             CURLOPT_TIMEOUT        => 10,  // 减少超时时间 
31.             CURLOPT_CONNECTTIMEOUT => 10, 
32.             CURLOPT_SSL_VERIFYPEER => true,  // 启用SSL验证 
33.             CURLOPT_SSL_VERIFYHOST => 2, 
34.         ]); 
35.           
36.         // 执行请求并获取响应 
37.         $response = curl_exec($ch); 
38.         $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); 
39.         $error = curl_error($ch); 
40.           
41.         // 关闭连接 
42.         curl_close($ch); 
43.           
44.         // 处理响应 
45.         if ($error) { 
46.             throw new Exception("cURL错误: $error"); 
47.         } 
48.           
49.         if ($httpCode !== 200) { 
50.             throw new Exception("API请求失败，状态码: $httpCode, 响应: $response"); 
51.         } 
52.           
53.         // 记录成功日志 
54.         Log::info("短信发送成功", [ 
55.             'phone' => $code . $phone, 
56.             'length' => strlen($message), 
57.             'http_code' => $httpCode, 
58.         ]); 
59.           
60.     } catch (Exception $e) { 
61.         // 记录详细错误日志 
62.         Log::error("短信发送失败", [ 
63.             'phone' => $code . $phone, 
64.             'error' => $e->getMessage(), 
65.             'trace' => $e->getTraceAsString(), 
66.         ]); 
67.           
68.         // 可根据业务需求选择是否抛出异常 
69.         // throw $e; 
70.     } 
71. } 

这个函数通过cURL库发送HTTP POST请求到短信服务提供商的API，包含目标手机号、短信内容等信息，并使用Basic认证方式进行身份验证。

安全性优化

在实际生产环境中，安全性是首要考虑因素。以下是关键优化点：

敏感信息保护

避免硬编码API密钥，建议使用环境变量或配置文件

考虑使用更安全的认证方式，如OAuth2.0

输入验证与过滤

验证手机号格式（正则表达式匹配）

过滤短信内容中的恶意字符

限制短信长度，防止超出服务商限制

SSL/TLS安全传输

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);

curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);

错误处理与可靠性提升

原代码的错误处理较为薄弱，以下是改进方案：

增强异常捕获

区分业务异常和系统异常

添加自定义异常类，如SmsSendException

HTTP响应处理

1. $response = curl_exec($ch); 
2. $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); 
3.   
4. if ($httpCode !== 200) { 
5.     throw new Exception("API请求失败: $httpCode"); 
6. } 

日志完善

记录完整请求上下文（请求参数、响应内容）

使用不同日志级别区分信息和错误

考虑添加日志轮转机制

性能优化策略

提升短信发送性能的关键措施：

减少超时设置

curl_setopt($ch, CURLOPT_TIMEOUT, 10);

curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 10);

批量发送实现

修改API请求格式，支持一次发送多条短信

注意服务商的批量限制（如每批次最多100条）

异步处理机制

使用消息队列（如RabbitMQ、Redis）实现异步发送

示例代码（使用Laravel队列）：

dispatch(new SendSmsJob($phone, $message))->onQueue('sms');

最佳实践总结

综合以上优化，一个生产级的短信发送函数应具备以下特性：

完整验证链：手机号格式验证 → 内容安全过滤 → 服务商限制检查

健壮的错误处理：网络异常捕获 → HTTP状态码检查 → 响应内容解析

性能保障：异步处理 → 批量发送 → 超时控制

安全加固：参数过滤 → 认证加密 → 传输加密

可观测性：详细日志 → 监控指标 → 告警机制

通过这些优化，短信服务可以在高并发场景下保持稳定运行，同时有效降低安全风险。在实际项目中，建议将短信服务封装为独立的服务层或SDK，便于复用和扩展。

扩展思考

多服务商切换：实现短信服务商的动态切换，提高可用性

短信模板管理：将短信内容模板化，便于维护和本地化

发送频率控制：添加手机号级别的发送频率限制，防止滥用

发送结果追踪：记录短信发送状态，支持用户重发功能

通过持续优化和完善，短信服务可以成为应用中可靠且高效的通信组件。

Tags: PHP短信发送

分享到：