PHP 超全局变量(Superglobals)的填充时间,是请求生命周期中最先发生的初始化行为之一,其时机由SAPI(Server API)类型决定。理解这一机制,是掌握 PHP 执行模型、排查部署问题、避免安全漏洞的关键。
一、超全局变量列表与作用
| 变量 | 作用 | 是否可写 |
|---|---|---|
$_GET | URL 查询参数 | ✅ |
$_POST | HTTP POST 数据 | ✅ |
$_COOKIE | HTTP Cookie | ✅ |
$_SESSION | 会话数据 | ✅(需session_start()) |
$_SERVER | 服务器/请求环境 | ✅(部分字段) |
$_ENV | 环境变量 | ✅ |
$GLOBALS | 全局符号表别名 | ✅ |
$_FILES | 上传文件信息 | ✅ |
$_REQUEST | $_GET+$_POST+$_COOKIE合集 | ✅ |
💡核心认知:
超全局变量 = 请求上下文的快照,由 SAPI 在脚本执行前注入
二、填充时机:SAPI 决定一切
▶ 1.Web SAPI(FPM/CGI/Apache2Handler)
- 填充时机:
- 在 PHP 脚本第一行代码执行前,由 Web 服务器通过 SAPI 接口传递
- 流程:
graph LR A[HTTP 请求] --> B[Web 服务器<br>(Nginx/Apache)] B --> C[SAPI 初始化] C --> D[填充超全局变量] D --> E[执行 PHP 脚本] - 关键点:
$_GET/$_POST/$_COOKIE由 Web 服务器解析 HTTP 请求后填充$_SERVER由 Web 服务器注入 FastCGI 参数(如SCRIPT_FILENAME)
▶ 2.CLI SAPI(命令行)
- 填充时机:
- 脚本启动时,从操作系统环境和 CLI 参数填充
- 数据来源:
$_SERVER['argv']←$argv$_ENV← Shell 环境变量$_GET/$_POST←空数组(无 HTTP 上下文)
▶ 3.Embedded SAPI(如旧版 mod_php)
- 填充时机:
- 与 FPM 类似,但由 Apache 直接注入
- 现状:
- 已淘汰(PHP 8.0+ 移除)
三、填充顺序与依赖关系
▶ 1.严格顺序
- Zend 引擎初始化
- SAPI 填充超全局变量
- 执行
auto_prepend_file - 执行用户脚本
▶ 2.$_SESSION的特殊性
- 默认不填充!
- 需显式调用
session_start()才从存储(文件/Redis)加载数据
- 需显式调用
- 填充时机:
session_start()调用时,而非脚本开始时
▶ 3.$_REQUEST的动态性
- 填充时机:
- 脚本开始时,按
request_order配置合并$_GET/$_POST/$_COOKIE
- 脚本开始时,按
- 风险:
- 若
request_order = "GP",$_POST['id']会覆盖$_GET['id']
- 若
四、安全与陷阱
▶ 1.客户端可操控字段
- 危险变量:
$_GET/$_POST/$_COOKIE/$_SERVER['HTTP_*']
- 防御:
- 永远不要信任这些值 → 必须验证/转义
▶ 2.register_globals的历史教训
- PHP 5.4 前:
- 可开启
register_globals = On→ 自动将$_GET['id']转为$id
- 可开启
- 后果:
- 变量污染 → 严重安全漏洞(如
$is_admin = true被覆盖)
- 变量污染 → 严重安全漏洞(如
- 现状:
- 已彻底移除
▶ 3.variables_order配置影响
- 配置项:
; php.ini variables_order = "EGPCS" ; Environment, Get, Post, Cookie, Server - 作用:
- 决定哪些超全局变量被填充(如
"GPC"跳过$_ENV/$_SERVER)
- 决定哪些超全局变量被填充(如
五、工程实践:验证与调试
▶ 1.检查填充时机
// test.phpvar_dump($_GET);// 即使是第一行,也能输出- 结果:
- Web 环境:
array(1) { ["foo"]=> string(3) "bar" }(来自?foo=bar) - CLI 环境:
array(0) {}
- Web 环境:
▶ 2.监控 SAPI 差异
if(PHP_SAPI==='cli'){echo"Running in CLI\n";}else{echo"Running in Web\n";var_dump($_SERVER['REQUEST_URI']);}▶ 3.安全初始化
// 清理不可信输入$_GET=array_map('trim',$_GET);$_POST=array_map('htmlspecialchars',$_POST);六、终极心法
**“超全局不是魔法,
而是 SAPI 的馈赠——
- 当你理解填充时机,
你在掌握请求上下文;- 当你校验客户端输入,
你在守护安全边界;- 当你区分 SAPI 行为,
你在规避环境陷阱。真正的工程能力,
始于对超全局的敬畏,
成于对细节的精控。”
结语
从今天起:
- 所有超全局变量必验证/转义
- CLI 与 Web 环境做差异化处理
- 禁用
request_order中的C(Cookie)除非必要
因为最好的输入处理,
不是盲目信任,
而是精准防御。
