PHP官方定义的超全局变量共9个:$_GET、$_POST、$_COOKIE、$_FILES、$_SERVER、$_ENV、$_REQUEST、$GLOBALS、$_SESSION;它们无需global声明即可在任意作用域直接访问。
PHP超全局变量到底有哪几个
PHP里真正被官方定义为“超全局”的变量只有9个,不是所有带$开头的全局变量都算。它们在任何作用域(函数、类、include文件里)都能直接访问,不需global声明。
这9个是:$_GET、$_POST、$_COOKIE、$_FILES、$_SERVER、$_ENV、$_REQUEST、$GLOBALS、$_SESSION。
-
$_REQUEST默认包含$_GET、$_POST和$_COOKIE,但顺序可由variables_order配置项控制,别默认以为它总按这个优先级合并 -
$_ENV在CGI/FPM模式下可能为空,除非显式启用variables_order中的E,或用putenv()设置后读取 -
$GLOBALS是唯一一个键名为变量名的超全局——比如$GLOBALS['foo']等价于全局变量$foo,但它本身不是“容器”,而是全局符号表的引用
$_SERVER常见误用和关键字段
$_SERVER看着像请求信息集合,其实混了运行环境、Web服务器配置、PHP启动参数三类数据,很多字段根本不可信或不稳定。
-
$_SERVER['HTTP_HOST']来自请求头,可被客户端伪造,做域名白名单或重定向跳转时必须校验,不能直接拼接URL -
$_SERVER['SCRIPT_NAME']和$_SERVER['PHP_SELF']都可能被注入恶意路径,输出到HTML前务必用htmlspecialchars()处理 -
$_SERVER['REMOTE_ADDR']在Nginx+PHP-FPM架构中,如果没配real_ip_header,实际拿到的是反向代理IP而非用户真实IP -
$_SERVER['REQUEST_TIME_FLOAT']比microtime(true)更可靠——它是PHP内核在请求开始时记录的浮点时间戳,不受时区或date_default_timezone_set()影响
$_FILES上传失败的典型原因
上传出问题,90%不是代码写错,而是$_FILES结构本身被忽略或误解。
立即学习“PHP免费学习笔记(深入)”;
- 单文件上传时
$_FILES['file']['name']是字符串;多文件上传(如<input type="file" name="files[]" multiple>)时,$_FILES['files']['name']是数组,不是$_FILES['files'][0]['name']——结构是扁平化的二维数组 -
$_FILES['file']['error'] === UPLOAD_ERR_NO_FILE表示用户根本没选文件,不是上传失败,别当成错误抛异常 - 上传大小限制由三个地方共同决定:
upload_max_filesize(PHP)、post_max_size(PHP)、Web服务器配置(如Nginx的client_max_body_size),任一环节超限都会让$_FILES为空或error为UPLOAD_ERR_INI_SIZE -
$_FILES['file']['tmp_name']只在脚本本次执行期间有效,不能存起来下次用,move_uploaded_file()必须立刻调用
$GLOBALS和引用陷阱
$GLOBALS看着方便,但直接改它容易引发隐蔽副作用,尤其在函数嵌套或框架环境中。
- 给
$GLOBALS['foo'] = 'bar'赋值,等同于在全局作用域创建或覆盖$foo,如果该变量已在其他地方被引用(比如闭包用了use (&$foo)),行为会变得难以追踪 -
unset($GLOBALS['foo'])确实会销毁全局变量$foo,但不会影响已存在的引用——这点和unset($foo)不同,后者只断开当前符号表绑定 - 现代PHP项目基本不用
$GLOBALS传参,依赖注入或函数参数传递更清晰;它主要用在调试、扩展开发或兼容老代码时临时读取全局状态
超全局变量不是语法糖,而是PHP运行模型的一部分。它们的值来源各异,生命周期和可见性规则也不统一,直接拿来就用很容易在环境切换、并发请求或安全校验时翻车。
