PHP超全局变量有哪些及使用教程

PHP超全局变量是开发者处理表单提交、URL参数解析、用户会话管理等高频场景时无法绕开的9个预定义数组工具——它们开箱即用，无需声明或global引入，但绝非“拿来即安”：$_GET和$_POST必须严格区分用途以规避密码泄露与XSS风险，$GLOBALS虽强大却易破坏封装性导致维护噩梦，$_SERVER提供可信运行环境，而$_SESSION与$_COOKIE则需清晰划清服务端安全状态与客户端不可信数据的边界；真正掌握它们，不是死记硬背列表，而是在写第一行表单处理、读第一个URL参数、保存首个登录态时，就建立起安全过滤、存在性校验和来源可控的工程直觉。

PHP 超全局变量不是“要背的列表”，而是**你写第一行表单处理、第一次读 URL 参数、第一次存登录状态时，绕不开的 9 个现成工具**。它们全都是预定义数组，不用 global、不用声明，直接用——但直接用≠安全用，更不等于能乱用。

$_GET 和 $_POST：表单传参的两条主干道，别混着走

用户填了表单，数据怎么到 PHP？就靠这两个：$_GET 拿 URL 里的参数（比如 user.php?id=123），$_POST 拿表单 body 里提交的数据（比如登录密码）。

常见错误：
• 把密码用 $_GET 传 —— 会明文留在浏览器历史、服务器日志、代理缓存里；
• 不校验 isset($_POST['submit']) 就直接取值 —— 页面一刷新就报 Undefined index；
• 忘了过滤输出，直接 echo $_GET['name'] —— XSS 漏洞当场生成。

实操建议：
• 登录、注册、上传等敏感操作，强制用 method="post" + $_POST；
• 所有外部输入，先判断存在性，再过滤：用 htmlspecialchars($_GET['q'] ?? '') 或 filter_input(INPUT_GET, 'q', FILTER_SANITIZE_STRING)；
• 别图省事用 $_REQUEST 统一收 —— 它混合了 GET/POST/Cookie，来源不可控，调试和安全审计都变难。

$GLOBALS：能改全局变量，但改了就难追责

$GLOBALS 是唯一一个让你在函数里“穿透作用域”直接读写任何全局变量的超全局变量。比如：

<?php
$user_id = 1001;
function log_access() {
    error_log("User {$GLOBALS['user_id']} visited");
}
log_access(); // OK，没声明 global 也拿到值
?>

但它不是“方便语法糖”，而是“耦合放大器”。

为什么慎用：
• 函数内部修改 $GLOBALS['config']，调用它的任何地方都可能被静默影响；
• IDE 和静态分析工具基本无法追踪这种赋值；
• 和面向对象开发完全冲突 —— 类属性才是该管状态的地方。

实操建议：
• 新项目中，把 $GLOBALS 当作“只读快照”，仅用于调试或兼容老代码；
• 真需要跨作用域传值，优先用函数参数、返回值，或封装进类；
• 如果非得用，至少加注释说明：“此处通过 $GLOBALS 修改，影响后续所有 session_init() 调用”。

$_SERVER：服务器信息不是“可选配件”，而是运行上下文本身

$_SERVER 是你判断“当前脚本在哪跑、谁在访问、怎么来的”的唯一可靠来源。它不来自用户输入，也不可伪造（除少数 header 字段外），所以比 $_GET 更可信。

高频实用字段：
• $_SERVER['PHP_SELF']：当前脚本路径，常用于表单 action 自引用，但必须过 htmlspecialchars() 防 XSS；
• $_SERVER['REQUEST_METHOD']：区分是 GET 还是 POST 请求，比检查 $_POST 是否为空更底层；
• $_SERVER['REMOTE_ADDR']：客户端真实 IP（注意代理场景下可能需查 X-Forwarded-For）；
• $_SERVER['HTTPS'] === 'on'：判断是否 HTTPS，别硬写 https:// 前缀。

容易踩的坑：
• 直接拼接 $_SERVER['HTTP_REFERER'] 做跳转 —— 它可被任意篡改，必须白名单校验；
• 依赖 $_SERVER['SCRIPT_FILENAME'] 做文件包含 —— 开发环境和生产环境路径结构不同，极易出错；
• 忘了 $_SERVER 的键名大小写敏感（如 HTTP_USER_AGENT 不是 http_user_agent）。

$_SESSION 和 $_COOKIE：状态持久化的边界在哪

用户登录后怎么记住他？$_SESSION 存服务端，$_COOKIE 存浏览器端 —— 这是根本分界。

关键事实：
• $_SESSION 必须以 session_start() 开头，且**只能在任何输出之前调用**（包括空格、BOM）；
• $_COOKIE 是 HTTP 请求头里带过来的原始字符串，不自动解码，含特殊字符需 urldecode()；
• 设置 Cookie 用 setcookie()，但读取永远是 $_COOKIE —— 二者不是双向绑定。

实操红线：
• 别把密码、token 明文塞进 $_COOKIE —— 至少 httponly + secure + samesite=Strict；
• $_SESSION 数据默认存在文件系统，高并发时可能阻塞，生产环境应配 Redis 或 Memcached；
• 修改 $_SESSION 后不调用 session_write_close()，后续 AJAX 请求可能卡住 —— 因为 session 文件被锁。

真正卡住初学者的，从来不是“有哪些变量”，而是**哪个该用、哪个不能信、哪个改了会连锁崩掉**。超全局变量是 PHP 给你的扳手，但拧螺丝前，得先看清螺纹方向。

到这里，我们也就讲完了《PHP超全局变量有哪些及使用教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！