PHP超全局变量有哪些？新手必学

PHP超全局变量是开发者处理表单提交、URL参数解析、用户会话管理等核心场景时无法绕开的9个预定义数组——它们开箱即用、无需声明，但绝非“背完就了事”的语法知识点；从第一行$_POST取登录密码，到用$_SESSION维持用户状态，再到靠$_SERVER获取可信运行环境，每个变量都直连真实开发痛点；真正关键的不是记住名字，而是理解$_GET与$_POST的安全边界、$_SESSION与$_COOKIE的本质区别、$GLOBALS引发的耦合风险，以及为何所有外部输入都必须先判断存在、再过滤输出——掌握它们，就是掌握PHP Web开发最底层的“安全开关”和“效率杠杆”。

PHP 超全局变量不是“要背的列表”，而是**你写第一行表单处理、第一次读 URL 参数、第一次存登录状态时，绕不开的 9 个现成工具**。它们全都是预定义数组，不用 global、不用声明，直接用——但直接用≠安全用，更不等于能乱用。

$_GET 和 $_POST：表单传参的两条主干道，别混着走

用户填了表单，数据怎么到 PHP？就靠这两个：$_GET 拿 URL 里的参数（比如 user.php?id=123），$_POST 拿表单 body 里提交的数据（比如登录密码）。

常见错误：
• 把密码用 $_GET 传 —— 会明文留在浏览器历史、服务器日志、代理缓存里；
• 不校验 isset($_POST['submit']) 就直接取值 —— 页面一刷新就报 Undefined index；
• 忘了过滤输出，直接 echo $_GET['name'] —— XSS 漏洞当场生成。

实操建议：
• 登录、注册、上传等敏感操作，强制用 method="post" + $_POST；
• 所有外部输入，先判断存在性，再过滤：用 htmlspecialchars($_GET['q'] ?? '') 或 filter_input(INPUT_GET, 'q', FILTER_SANITIZE_STRING)；
• 别图省事用 $_REQUEST 统一收 —— 它混合了 GET/POST/Cookie，来源不可控，调试和安全审计都变难。

$GLOBALS：能改全局变量，但改了就难追责

$GLOBALS 是唯一一个让你在函数里“穿透作用域”直接读写任何全局变量的超全局变量。比如：

<?php
$user_id = 1001;
function log_access() {
    error_log("User {$GLOBALS['user_id']} visited");
}
log_access(); // OK，没声明 global 也拿到值
?>

但它不是“方便语法糖”，而是“耦合放大器”。

为什么慎用：
• 函数内部修改 $GLOBALS['config']，调用它的任何地方都可能被静默影响；
• IDE 和静态分析工具基本无法追踪这种赋值；
• 和面向对象开发完全冲突 —— 类属性才是该管状态的地方。

实操建议：
• 新项目中，把 $GLOBALS 当作“只读快照”，仅用于调试或兼容老代码；
• 真需要跨作用域传值，优先用函数参数、返回值，或封装进类；
• 如果非得用，至少加注释说明：“此处通过 $GLOBALS 修改，影响后续所有 session_init() 调用”。

$_SERVER：服务器信息不是“可选配件”，而是运行上下文本身

$_SERVER 是你判断“当前脚本在哪跑、谁在访问、怎么来的”的唯一可靠来源。它不来自用户输入，也不可伪造（除少数 header 字段外），所以比 $_GET 更可信。

高频实用字段：
• $_SERVER['PHP_SELF']：当前脚本路径，常用于表单 action 自引用，但必须过 htmlspecialchars() 防 XSS；
• $_SERVER['REQUEST_METHOD']：区分是 GET 还是 POST 请求，比检查 $_POST 是否为空更底层；
• $_SERVER['REMOTE_ADDR']：客户端真实 IP（注意代理场景下可能需查 X-Forwarded-For）；
• $_SERVER['HTTPS'] === 'on'：判断是否 HTTPS，别硬写 https:// 前缀。

容易踩的坑：
• 直接拼接 $_SERVER['HTTP_REFERER'] 做跳转 —— 它可被任意篡改，必须白名单校验；
• 依赖 $_SERVER['SCRIPT_FILENAME'] 做文件包含 —— 开发环境和生产环境路径结构不同，极易出错；
• 忘了 $_SERVER 的键名大小写敏感（如 HTTP_USER_AGENT 不是 http_user_agent）。

$_SESSION 和 $_COOKIE：状态持久化的边界在哪

用户登录后怎么记住他？$_SESSION 存服务端，$_COOKIE 存浏览器端 —— 这是根本分界。

关键事实：
• $_SESSION 必须以 session_start() 开头，且**只能在任何输出之前调用**（包括空格、BOM）；
• $_COOKIE 是 HTTP 请求头里带过来的原始字符串，不自动解码，含特殊字符需 urldecode()；
• 设置 Cookie 用 setcookie()，但读取永远是 $_COOKIE —— 二者不是双向绑定。

实操红线：
• 别把密码、token 明文塞进 $_COOKIE —— 至少 httponly + secure + samesite=Strict；
• $_SESSION 数据默认存在文件系统，高并发时可能阻塞，生产环境应配 Redis 或 Memcached；
• 修改 $_SESSION 后不调用 session_write_close()，后续 AJAX 请求可能卡住 —— 因为 session 文件被锁。

真正卡住初学者的，从来不是“有哪些变量”，而是**哪个该用、哪个不能信、哪个改了会连锁崩掉**。超全局变量是 PHP 给你的扳手，但拧螺丝前，得先看清螺纹方向。

今天关于《PHP超全局变量有哪些？新手必学》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！