PHP超全局变量全解析

PHP超全局变量并非“即用即有”的魔法容器，而是严格依赖HTTP请求上下文、服务器配置和正确使用方式的外部输入快照——$_GET只解析URL参数，$_POST仅响应特定编码的表单提交，JSON数据必须通过php://input手动读取；$_SESSION空值往往源于session_start()缺失、输出提前或存储路径不可写；$_SERVER中HTTP_HOST与SERVER_NAME用途截然不同，一个反映用户访问地址（适合跳转），一个代表服务器配置（适合安全校验）；$_FILES上传失败常因php.ini限制或未调用move_uploaded_file()所致。真正的问题不在于变量本身，而在于开发者忽略请求方法、编码类型、配置边界与数据可信度验证——学会“看懂请求、查清配置、分清来源”，才是驾驭超全局变量的关键。

$_GET 和 $_POST 拿不到数据？先看请求方法和编码

PHP 超全局变量不是“自动有值”，而是由 PHP 根据 HTTP 请求上下文填充的。最常见的情况是：表单用了 method="post"，但你却在代码里读 $_GET；或者前端发的是 JSON（Content-Type: application/json），而你直接查 $_POST —— 它永远为空。

• $_GET 只包含 URL 查询参数（?id=123&name=test）和显式通过 GET 方法提交的表单字段
• $_POST 仅对 application/x-www-form-urlencoded 和 multipart/form-data 编码的 POST 请求有效；JSON、XML 或纯文本请求不会触发它
• 若需读取原始 JSON 数据，要用 file_get_contents('php://input') 再 json_decode()，不能依赖 $_POST
• 检查 $_SERVER['REQUEST_METHOD'] 确认当前确实是 POST 或 GET，避免逻辑错位

$_SESSION 为什么每次都是空？session_start() 忘了或放错了位置

$_SESSION 不是“开箱即用”的变量，它依赖会话机制启动。漏掉 session_start()，或把它放在任何输出（包括空格、BOM、echo）之后，都会导致失败，且通常不报错，只默默失效。

• session_start() 必须在脚本最开头调用，在任何 HTML 输出、header() 发送前，甚至不能有 UTF-8 BOM
• 检查是否在包含文件中提前输出了内容（比如 config.php 末尾多了一个换行）
• 确认 session.save_path 在 php.ini 中可写，否则会静默失败（可用 session_status() === PHP_SESSION_ACTIVE 验证是否真启动成功）
• 跨域或子域名下需手动设置 session_set_cookie_params(['domain' => '.example.com'])，否则 Cookie 不会被携带

$_SERVER['HTTP_HOST'] 和 $_SERVER['SERVER_NAME'] 到底该用哪个？

这两个看起来都像“当前域名”，但来源完全不同：$_SERVER['HTTP_HOST'] 来自客户端请求头（可被伪造），$_SERVER['SERVER_NAME'] 来自服务器配置（更可信，但可能不等于用户访问的域名）。

• 做跳转、拼接绝对 URL 时，优先用 $_SERVER['HTTP_HOST']（如 "https://" . $_SERVER['HTTP_HOST'] . "/login"），它反映用户实际访问的地址
• 做权限校验、白名单判断时，用 $_SERVER['SERVER_NAME'] 更安全，因为它不可被客户端篡改
• 如果 Nginx/Apache 配置了多个 server_name 或用了反向代理，$_SERVER['HTTP_HOST'] 可能为空或不一致，此时应结合 $_SERVER['SERVER_ADDR'] 和端口做兜底
• 注意 $_SERVER['HTTPS'] 值是字符串 "on" 或空，不是布尔值，别直接 if ($_SERVER['HTTPS'])

$_FILES 上传失败？别只看 error 值，还要查 php.ini 限制

$_FILES 是唯一能拿到上传文件元信息的超全局变量，但它只在表单 <input type="file"> 且 enctype="multipart/form-data" 时才填充。很多问题根本不出在 PHP 代码，而在服务器配置。

• 上传失败时，先打印 $_FILES['xxx']['error']：0 表示成功，4 表示没选文件，其他值参考 UPLOAD_ERR_XXX 常量
• 即使 error === 0，也可能因 upload_max_filesize（php.ini）、post_max_size（必须 ≥ upload_max_filesize）或 Nginx 的 client_max_body_size 被截断
• $_FILES['xxx']['tmp_name'] 是临时路径，脚本结束即删，必须用 move_uploaded_file() 显式保存，不能用 copy()
• 不要信任 $_FILES['xxx']['type']（浏览器提供，可伪造），校验文件类型应靠 finfo_file() 或扩展名白名单

超全局变量本身没有魔法，它们只是 PHP 把外部输入映射进来的快照。真正容易出问题的，是假设“它应该有值”而不验证来源、不检查配置、不区分可信边界。尤其是 $_GET 和 $_POST，常被当成“用户输入”的代名词，但它们连基本的数据类型都不保证——所有值都是字符串，数字要自己 filter_var() 或强转，否则 == 对比可能出意外。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHP超全局变量全解析》文章吧，也可关注golang学习网公众号了解相关技术文章。