初学者学php超全局变量有哪些_初学者学php超全局变量【认知】

PHP超全局变量是处理表单、URL参数、登录状态等场景必需的9个预定义数组，需按安全规范使用：$_GET与$_POST分清用途，$GLOBALS慎用防耦合，$_SERVER提供可信运行上下文，$_SESSION与$_COOKIE严格区分服务端/客户端状态。

$_GET 和 $_POST：表单传参的两条主干道，别混着走

用户填了表单，数据怎么到 PHP？就靠这两个：$_GET 拿 URL 里的参数（比如 user.php?id=123），$_POST 拿表单 body 里提交的数据（比如登录密码）。

常见错误：
• 把密码用 $_GET 传 —— 会明文留在浏览器历史、服务器日志、代理缓存里；
• 不校验 isset($_POST['submit']) 就直接取值 —— 页面一刷新就报 Undefined index；
• 忘了过滤输出，直接 echo $_GET['name'] —— XSS 漏洞当场生成。

实操建议：
• 登录、注册、上传等敏感操作，强制用 method="post" + $_POST；
• 所有外部输入，先判断存在性，再过滤：用 htmlspecialchars($_GET['q'] ?? '') 或 filter_input(INPUT_GET, 'q', FILTER_SANITIZE_STRING)；
• 别图省事用 $_REQUEST 统一收 —— 它混合了 GET/POST/Cookie，来源不可控，调试和安全审计都变难。

$GLOBALS：能改全局变量，但改了就难追责

$GLOBALS 是唯一一个让你在函数里“穿透作用域”直接读写任何全局变量的超全局变量。比如：

<?php
$user_id = 1001;
function log_access() {
    error_log("User {$GLOBALS['user_id']} visited");
}
log_access(); // OK，没声明 global 也拿到值
?>

$_SERVER：服务器信息不是“可选配件”，而是运行上下文本身

$_SERVER 是你判断“当前脚本在哪跑、谁在访问、怎么来的”的唯一可靠来源。它不来自用户输入，也不可伪造（除少数 header 字段外），所以比 $_GET 更可信。

高频实用字段：
• $_SERVER['PHP_SELF']：当前脚本路径，常用于表单 action 自引用，但必须过 htmlspecialchars() 防 XSS；
• $_SERVER['REQUEST_METHOD']：区分是 GET 还是 POST 请求，比检查 $_POST 是否为空更底层；
• $_SERVER['REMOTE_ADDR']：客户端真实 IP（注意代理场景下可能需查 X-Forwarded-For）；
• $_SERVER['HTTPS'] === 'on'：判断是否 HTTPS，别硬写 https:// 前缀。

容易踩的坑：
• 直接拼接 $_SERVER['HTTP_REFERER'] 做跳转 —— 它可被任意篡改，必须白名单校验；
• 依赖 $_SERVER['SCRIPT_FILENAME'] 做文件包含 —— 开发环境和生产环境路径结构不同，极易出错；
• 忘了 $_SERVER 的键名大小写敏感（如 HTTP_USER_AGENT 不是 http_user_agent）。

Rose.ai

一个云数据平台，帮助用户发现、可视化数据

下载

$_SESSION 和 $_COOKIE：状态持久化的边界在哪

用户登录后怎么记住他？$_SESSION 存服务端，$_COOKIE 存浏览器端 —— 这是根本分界。

关键事实：
• $_SESSION 必须以 session_start() 开头，且**只能在任何输出之前调用**（包括空格、BOM）；
• $_COOKIE 是 HTTP 请求头里带过来的原始字符串，不自动解码，含特殊字符需 urldecode()；
• 设置 Cookie 用 setcookie()，但读取永远是 $_COOKIE —— 二者不是双向绑定。

实操红线：
• 别把密码、token 明文塞进 $_COOKIE —— 至少 httponly + secure + samesite=Strict；
• $_SESSION 数据默认存在文件系统，高并发时可能阻塞，生产环境应配 Redis 或 Memcached；
• 修改 $_SESSION 后不调用 session_write_close()，后续 AJAX 请求可能卡住 —— 因为 session 文件被锁。