弹幕实时推送必须用WebSocket而非HTTP轮询,PHP需借助Swoole实现;入库须预处理防注入、截断长度、敏感词过滤;前端渲染应池化DOM+CSS动画;连接与发送需token校验、IP限连、频率限制。
弹幕数据怎么实时推送到前端
靠传统 HTTP 轮询或定时 AJAX 请求,延迟高、连接多、服务器压力大。必须用长连接通道——WebSocket 是唯一合理选择。PHP 本身不原生支持 WebSocket 服务端,得借助 ReactPHP 或 Swoole 这类异步扩展。
推荐用 Swoole\WebSocket\Server,它能直接在 PHP 里启动一个 WebSocket 服务,处理连接、广播、心跳。注意别用 fpm 模式跑 WebSocket,那会直接失败——必须用 swoole_http_server 或 swoole_websocket_server 启动独立进程。
- 客户端用
new WebSocket('ws://your-domain.com:9502')连接,不是http:// - 服务端收到弹幕消息后,不能只存数据库就完事,要调用
$server->push($fd, $json)广播给所有在线观众(或按房间过滤) - 务必加心跳检测(
ping/pong),否则 Nginx 或云服务商的 LB 会在 60 秒左右断连
弹幕内容怎么安全入库和过滤
用户发来的弹幕是不可信输入,直接 INSERT INTO 就等着被 SQL 注入或 XSS 攻击。入库前必须做三件事:转义、长度截断、敏感词替换。
不要用 mysql_real_escape_string(已废弃),改用 PDO 的预处理 + bindValue;内容长度限制建议设为 30 字以内(含 emoji 占位),避免撑爆前端渲染区域;敏感词过滤别手写正则,用 str_replace 配合离线词库数组更稳。
foreach ($badWords as $bad => $replace) {
$danmaku = str_replace($bad, $replace, $danmaku);
}
$stmt = $pdo->prepare("INSERT INTO danmaku (video_id, content, time, user_id) VALUES (?, ?, ?, ?)");
$stmt->bindValue(1, $videoId, PDO::PARAM_INT);
$stmt->bindValue(2, mb_substr($danmaku, 0, 30, 'UTF-8'), PDO::PARAM_STR);
$stmt->bindValue(3, $currentTime, PDO::PARAM_STR);
$stmt->bindValue(4, $userId, PDO::PARAM_INT);
$stmt->execute();
前端怎么高效渲染上千条弹幕不卡顿
每来一条弹幕就 document.createElement + appendChild,几百条之后页面必然掉帧。核心思路是「池化 + CSS 动画 + requestAnimationFrame」。
提前创建 100 个 没防护的 WebSocket 服务端等于裸奔:脚本能瞬间建几千连接,发垃圾消息塞爆内存。必须在连接入口层拦截。 用 别依赖前端 JS 的防抖——那层早就被绕过了。 元素放进内存池,每次弹幕来时从池里取一个、设置内容和样式、用 transform: translateX() 控制横向飞入动画,播放完立刻 reset 回池子复用。禁用 top/left + transition,那会强制重排。
12–15 行,再多视觉混乱且计算开销翻倍getBoundingClientRect() 判断是否移出视口,及时回收 DOM 节点visibilitychange,切后台时暂停动画,省电怎么防止刷弹幕和恶意连接
Swoole 的 onOpen 回调做两件事:校验 token(从 URL 参数或 Cookie 带来,后端验证登录态和视频权限)、限制单 IP 每秒新建连接数(ConnectionLimit 中间件或自己用 redis.incr + expire 实现)。对已连接用户,再加弹幕频率限制:每个 $fd 每 5 秒最多发 1 条,超限直接 $server->close($fd)。
