$_GET适用于传少量非敏感参数(如page=2),$_POST用于登录等敏感操作;$_SESSION必须先调用session_start();$_SERVER['REQUEST_URI']含查询参数,$_SERVER['PHP_SELF']仅脚本路径且易受污染;环境变量推荐用getenv()而非$_ENV。
$_GET 和 $_POST 什么时候该用?
绝大多数初学者第一次接触超全局变量,就是从表单提交开始。但容易混淆的是:$_GET 适合传少量、无敏感信息的参数(比如分页页码 page=2),而 $_POST 才是处理登录、注册、编辑等操作的正经选择。
常见错误:把密码写在 URL 里用 $_GET['password'] 获取——这等于明文广播给浏览器历史、服务器日志、代理缓存。
-
$_GET数据来自 URL 查询字符串,长度受浏览器和服务器限制(通常几 KB) -
$_POST数据来自请求体,能传更大内容,但必须配合method="post"的<form> - PHP 不会自动校验这些变量是否存在或合法,
isset($_POST['username'])和filter_input(INPUT_POST, 'username')才是安全起点
$_SESSION 必须先 session_start() 吗?
必须。没调用 session_start() 就直接读写 $_SESSION,PHP 不报错,但所有操作都无效——$_SESSION 看起来像空数组,实际数据根本没加载进来,更不会写回 session 文件。
典型场景:用户登录后跳转到首页,首页却读不到 $_SESSION['user_id']。往往是因为跳转前没调用 session_start(),或者调用位置不对(比如在输出任何 HTML 或空格之后)。
立即学习“PHP免费学习笔记(深入)”;
- 每个要用
$_SESSION的 PHP 文件开头都要加session_start() - 不能在
header()或输出 HTML 后再调用,否则报 “headers already sent” 错误 - session 默认保存在文件系统,生产环境建议配 Redis 或 Memcached 提升并发性能
$_SERVER['REQUEST_URI'] 和 $_SERVER['PHP_SELF'] 有啥区别?
这两个最容易被当成同义词乱用,但行为差异直接影响安全性。比如写一个“当前页面重新提交表单”的链接,用错就可能引入 XSS 漏洞。
$_SERVER['REQUEST_URI'] 是浏览器发来的原始路径+查询参数(如 /login.php?ref=home),而 $_SERVER['PHP_SELF'] 只返回当前执行脚本的路径(如 /login.php),且它会被恶意构造的 URL 污染——如果攻击者访问 /login.php/%22%3E%3Cscript%3Ealert(1)%3C/script%3E,$_SERVER['PHP_SELF'] 可能返回带闭合标签的字符串。
- 生成表单
action属性时,优先用htmlspecialchars($_SERVER['PHP_SELF'])做转义 - 做路由判断(比如区分后台/前台)更适合用
$_SERVER['REQUEST_URI']配合parse_url() -
$_SERVER里的值不是用户可控的“输入”,但部分字段(如PHP_SELF、HTTP_REFERER)实际由客户端提供,不能无条件信任
$_ENV 和 getenv() 为什么经常读不到值?
PHP 默认不自动填充 $_ENV,除非你显式开启 variables_order 配置(如设为 "EGPCS")。更可靠的方式是直接用 getenv('DB_HOST') 或 $_SERVER['DB_HOST'] ——现代 PHP 运行时(如 PHP-FPM)会把环境变量注入 $_SERVER,但不一定进 $_ENV。
常见坑:本地开发用 php -S 启动时,$_ENV 几乎总是空的;Docker 或 Nginx + PHP-FPM 环境下,变量是否可见取决于启动方式和配置。
- 推荐统一用
getenv('APP_ENV'),它跨 SAPI 兼容性更好 - 如果依赖
$_ENV,检查phpinfo()中variables_order是否含E - 敏感配置(如数据库密码)别硬编码,用环境变量 +
.env文件(配合vonage/php-dotenv等库加载)更稳妥
超全局变量本身没有魔法,它们只是 PHP 把不同来源的数据整理成数组扔给你。真正复杂的是:哪些来源可信、何时需要过滤、在哪一层做校验、出错时怎么定位——这些没法靠背变量名解决。
