PHP超全局变量是处理表单、URL参数、登录状态等场景必需的9个预定义数组,需按安全规范使用:$_GET与$_POST分清用途,$GLOBALS慎用防耦合,$_SERVER提供可信运行上下文,$_SESSION与$_COOKIE严格区分服务端/客户端状态。
global、不用声明,直接用——但直接用≠安全用,更不等于能乱用。
$_GET 和 $_POST:表单传参的两条主干道,别混着走
用户填了表单,数据怎么到 PHP?就靠这两个:$_GET 拿 URL 里的参数(比如 user.php?id=123),$_POST 拿表单 body 里提交的数据(比如登录密码)。
常见错误:
• 把密码用 $_GET 传 —— 会明文留在浏览器历史、服务器日志、代理缓存里;
• 不校验 isset($_POST['submit']) 就直接取值 —— 页面一刷新就报 Undefined index;
• 忘了过滤输出,直接 echo $_GET['name'] —— XSS 漏洞当场生成。
实操建议:
• 登录、注册、上传等敏感操作,强制用 method="post" + $_POST;
• 所有外部输入,先判断存在性,再过滤:用 htmlspecialchars($_GET['q'] ?? '') 或 filter_input(INPUT_GET, 'q', FILTER_SANITIZE_STRING);
• 别图省事用 $_REQUEST 统一收 —— 它混合了 GET/POST/Cookie,来源不可控,调试和安全审计都变难。
$GLOBALS:能改全局变量,但改了就难追责
$GLOBALS 是唯一一个让你在函数里“穿透作用域”直接读写任何全局变量的超全局变量。比如:
但它不是“方便语法糖”,而是“耦合放大器”。
为什么慎用:
• 函数内部修改
$GLOBALS['config'],调用它的任何地方都可能被静默影响;• IDE 和静态分析工具基本无法追踪这种赋值;
• 和面向对象开发完全冲突 —— 类属性才是该管状态的地方。
实操建议:
• 新项目中,把
$GLOBALS 当作“只读快照”,仅用于调试或兼容老代码;• 真需要跨作用域传值,优先用函数参数、返回值,或封装进类;
• 如果非得用,至少加注释说明:“此处通过 $GLOBALS 修改,影响后续所有 session_init() 调用”。
$_SERVER:服务器信息不是“可选配件”,而是运行上下文本身
$_SERVER 是你判断“当前脚本在哪跑、谁在访问、怎么来的”的唯一可靠来源。它不来自用户输入,也不可伪造(除少数 header 字段外),所以比 $_GET 更可信。
高频实用字段:
• $_SERVER['PHP_SELF']:当前脚本路径,常用于表单 action 自引用,但必须过 htmlspecialchars() 防 XSS;
• $_SERVER['REQUEST_METHOD']:区分是 GET 还是 POST 请求,比检查 $_POST 是否为空更底层;
• $_SERVER['REMOTE_ADDR']:客户端真实 IP(注意代理场景下可能需查 X-Forwarded-For);
• $_SERVER['HTTPS'] === 'on':判断是否 HTTPS,别硬写 https:// 前缀。
容易踩的坑:
• 直接拼接 $_SERVER['HTTP_REFERER'] 做跳转 —— 它可被任意篡改,必须白名单校验;
• 依赖 $_SERVER['SCRIPT_FILENAME'] 做文件包含 —— 开发环境和生产环境路径结构不同,极易出错;
• 忘了 $_SERVER 的键名大小写敏感(如 HTTP_USER_AGENT 不是 http_user_agent)。
十天学会易语言图解教程用图解的方式对易语言的使用方法和操作技巧作了生动、系统的讲解。需要的朋友们可以下载看看吧!全书分十章,分十天讲完。 第一章是介绍易语言的安装,以及运行后的界面。同时介绍一个非常简单的小程序,以帮助用户入门学习。最后介绍编程的输入方法,以及一些初学者会遇到的常见问题。第二章将接触一些具体的问题,如怎样编写一个1+2等于几的程序,并了解变量的概念,变量的有效范围,数据类型等知识。其后,您将跟着本书,编写一个自己的MP3播放器,认识窗口、按钮、编辑框三个常用组件。以认识命令及事件子程序。第
$_SESSION 和 $_COOKIE:状态持久化的边界在哪
用户登录后怎么记住他?$_SESSION 存服务端,$_COOKIE 存浏览器端 —— 这是根本分界。
关键事实:
• $_SESSION 必须以 session_start() 开头,且**只能在任何输出之前调用**(包括空格、BOM);
• $_COOKIE 是 HTTP 请求头里带过来的原始字符串,不自动解码,含特殊字符需 urldecode();
• 设置 Cookie 用 setcookie(),但读取永远是 $_COOKIE —— 二者不是双向绑定。
实操红线:
• 别把密码、token 明文塞进 $_COOKIE —— 至少 httponly + secure + samesite=Strict;
• $_SESSION 数据默认存在文件系统,高并发时可能阻塞,生产环境应配 Redis 或 Memcached;
• 修改 $_SESSION 后不调用 session_write_close(),后续 AJAX 请求可能卡住 —— 因为 session 文件被锁。
