$_GET适用于传少量非敏感参数(如page=2),$_POST用于登录等敏感操作;$_SESSION必须先调用session_start();$_SERVER['REQUEST_URI']含查询参数,$_SERVER['PHP_SELF']仅脚本路径且易受污染;环境变量推荐用getenv()而非$_ENV。
$_GET 和 $_POST 什么时候该用?
绝大多数初学者第一次接触超全局变量,就是从表单提交开始。但容易混淆的是:$_GET 适合传少量、无敏感信息的参数(比如分页页码 page=2),而 $_POST 才是处理登录、注册、编辑等操作的正经选择。
常见错误:把密码写在 URL 里用 $_GET['password'] 获取——这等于明文广播给浏览器历史、服务器日志、代理缓存。
-
$_GET数据来自 URL 查询字符串,长度受浏览器和服务器限制(通常几 KB) -
$_POST数据来自请求体,能传更大内容,但必须配合method="post"的 - PHP 不会自动校验这些变量是否存在或合法,
isset($_POST['username'])和filter_input(INPUT_POST, 'username')才是安全起点
$_SESSION 必须先 session_start() 吗?
必须。没调用 session_start() 就直接读写 $_SESSION,PHP 不报错,但所有操作都无效——$_SESSION 看起来像空数组,实际数据根本没加载进来,更不会写回 session 文件。
典型场景:用户登录后跳转到首页,首页却读不到 $_SESSION['user_id']。往往是因为跳转前没调用 session_start(),或者调用位置不对(比如在输出任何 HTML 或空格之后)。
立即学习“PHP免费学习笔记(深入)”;
- 每个要用
$_SESSION的 PHP 文件开头都要加session_start() - 不能在
header()或输出 HTML 后再调用,否则报 “headers already sent” 错误 - session 默认保存在文件系统,生产环境建议配 Redis 或 Memcached 提升并发性能
$_SERVER['REQUEST_URI'] 和 $_SERVER['PHP_SELF'] 有啥区别?
这两个最容易被当成同义词乱用,但行为差异直接影响安全性。比如写一个“当前页面重新提交表单”的链接,用错就可能引入 XSS 漏洞。
《PHP项目开发案例全程实录》是2011年清华大学出版社出版的图书,作者是明日科技。本书适合有基本编程知识但还没有项目开发经验的软件开发初学者使用,尤其适合高校在校生进行毕业设计、课题设计时做参考。
$_SERVER['REQUEST_URI'] 是浏览器发来的原始路径+查询参数(如 /login.php?ref=home),而 $_SERVER['PHP_SELF'] 只返回当前执行脚本的路径(如 /login.php),且它会被恶意构造的 URL 污染——如果攻击者访问 /login.php/%22%3E%3Cscript%3Ealert(1)%3C/script%3E,$_SERVER['PHP_SELF'] 可能返回带闭合标签的字符串。
- 生成表单
action属性时,优先用htmlspecialchars($_SERVER['PHP_SELF'])做转义 - 做路由判断(比如区分后台/前台)更适合用
$_SERVER['REQUEST_URI']配合parse_url() -
$_SERVER里的值不是用户可控的“输入”,但部分字段(如PHP_SELF、HTTP_REFERER)实际由客户端提供,不能无条件信任
$_ENV 和 getenv() 为什么经常读不到值?
PHP 默认不自动填充 $_ENV,除非你显式开启 variables_order 配置(如设为 "EGPCS")。更可靠的方式是直接用 getenv('DB_HOST') 或 $_SERVER['DB_HOST'] ——现代 PHP 运行时(如 PHP-FPM)会把环境变量注入 $_SERVER,但不一定进 $_ENV。
常见坑:本地开发用 php -S 启动时,$_ENV 几乎总是空的;Docker 或 Nginx + PHP-FPM 环境下,变量是否可见取决于启动方式和配置。
- 推荐统一用
getenv('APP_ENV'),它跨 SAPI 兼容性更好 - 如果依赖
$_ENV,检查phpinfo()中variables_order是否含E - 敏感配置(如数据库密码)别硬编码,用环境变量 +
.env文件(配合vonage/php-dotenv等库加载)更稳妥
超全局变量本身没有魔法,它们只是 PHP 把不同来源的数据整理成数组扔给你。真正复杂的是:哪些来源可信、何时需要过滤、在哪一层做校验、出错时怎么定位——这些没法靠背变量名解决。
