グローバル状態の飼い慣らし：PHPスーパーグロバルを効果的に使用するための戦略

入力を早期に抽出および消毒することにより、ビジネスロジックでスーパーグロバルを直接使用しないようにし、それを明示的に機能に渡すことを避けます。 2。スーパーグローバルアクセスをカプセル化するためのリクエストやセッションなどのラッパークラスを作成し、テスト可能性と制御を改善します。 3.アプリケーションのエントリポイントでfilter_input（）または検証ライブラリを使用して、常に入力を消毒および検証します。 4.専用のクラスを通じてセッション管理を集中化し、session_start（）を呼び出すことにより、$ _Sessionへの依存を最小限に抑えます。 5.再利用可能なライブラリまたはヘルパーにスーパーグロバルにアクセスしないでください。コンテキストの独立性を維持するためのパラメーターとして必要なデータを渡す。 6. $ _Serverを慎重に処理し、重要な存在を確認し、特にCLIまたは信頼できない環境での価値に関する仮定を回避します。 SuperGlobalsを信頼できない入力ソースとして扱い、安全なインターフェイスの背後にそれらを抽象化することにより、PHPアプリケーションのセキュリティ、保守性、テスト可能性を改善します。

PHPスーパーグロバル - $_GET 、 $_POST 、 $_SESSION 、 $_SERVERなどの組み込み変数 - は便利ですが、しばしば悪用されます。それらはグローバルにアクセス可能であるため、隠された依存関係を導入し、テストを難しくし、慎重に処理しないとセキュリティリスクを作成できます。それらを調整することは、それらを完全に避けることではなく、それらを思慮深く使用し、より安全で予測可能なパターンで包みます。

PHPスーパーグロバルをアプリケーションを引き継ぐことなく効果的に使用する方法は次のとおりです。

1.ビジネスロジックで直接スーパーグロバルを使用しないでください

最大の落とし穴の1つは、関数またはクラスの奥深くに$_POST['email']または$_GET['id']を参照することです。これにより、コードをHTTPリクエストにしっかりと結合し、テストまたは再利用が難しくなります。

代わりに、入力を早期に抽出して消毒し、明示的に渡します。

 // bad：ロジックでの直接使用
関数saveuser（）{
    $ email = $ _post ['email'];
    // ... プロセス
}

// good：データを注入します
function saveuser（string $ email）{
    // ... プロセス
}

//トップレベルで（コントローラーまたはルートハンドラー）
$ email = filter_input（input_post、 'email'、filter_validate_email）;
if（$ email）{
    SaveUser（$ email）;
}

これにより、ビジネスロジックが清潔でテスト可能になります。これで、 saveUser('test@example.com')スーパーグロバルを偽造せずにユニットテストで呼び出すことができます。

2。より良い制御とテスト可能性のために、スーパーグロバルをラップします

薄いラッパークラスまたはユーティリティ関数を作成して、スーパーグローバルデータにアクセスします。これにより、単一の制御ポイントが得られ、テスト中にock笑を簡単にします。

Get and Postのラッパーの例：

クラスリクエスト
{
    public function get（string $ key、$ default = null）：mixed
    {
        $ _get [$ key]を返しますか?? $ default;
    }

    パブリック関数post（string $ key、$ default = null）：mixed
    {
        $ _POST [$ key]を返しますか?? $ default;
    }

    public function haspost（string $ key）：bool
    {
        ISSETを返す（$ _ post [$ key]）;
    }
}

これで、コードは$_POST['email']の代わりに$request->post('email')を使用します。テスト中、グローバルな状態に依存する代わりに、モックまたはテストダブルを渡すことができます。

3.早期に消毒して検証します

スーパーグロバルには、生の信頼できない入力が含まれています。データが安全であると仮定しないでください。

phpのfilter_input()またはfilter_var()関数を使用して、検証し、サニタイズします。

 $ email = filter_input（input_post、 'email'、filter_validate_email）;
$ age = filter_input（input_post、 'age'、filter_validate_int、[
    'options' => ['min_range' => 18、 'max_range' => 120]
]）;
$ url = filter_input（input_post、 'url'、filter_sanitize_url）;

または、より複雑なルールについては、検証ライブラリ（尊敬\検証やSymfony検証装置など）を使用します。重要なのは、コード全体に散らばるのではなく、エントリポイントで検証することです。

4. $ _Sessionへの依存を最小限に抑えます

$_SESSIONコードを静かに結合して、制御しないと述べることができるもう1つのグローバルです。 $_SESSIONに直接書き込む代わりに：

 //❌
$ _Session ['user_id'] = 123;

セッションロジックをカプセル化します：

クラスセッション
{
    パブリック関数セット（String $ key、$ value）：void
    {
        $ _Session [$ key] = $ value;
    }

    public function get（string $ key、$ default = null）：mixed
    {
        $ _SESSION [$ key]を返しますか?? $ default;
    }

    public function setuser（int $ id）：void
    {
        $ this-> set（ 'user_id'、$ id）;
    }

    パブリック関数getUserid（）：？int
    {
        return $ this-> get（ 'user_id'）;
    }
}

現在、セッション管理は集中化され、デバッグが簡単で、ock笑が可能になりました。

また、常にリクエストの開始時にsession_start()を1回呼び出し、ファイル全体に散在することを避けてください。

5.ライブラリやヘルパーのスーパーグロバルを避けてください

再利用可能なコンポーネント（メーラー、ロガー、ユーティリティなど）は、 $_SERVER 、 $_GET 、または$_POSTに直接アクセスしないでください。これにより、Webコンテキストに依存します。

代わりに、必要なデータ（例えば、現在のURL、ユーザーエージェント）をパラメーターとして渡す：

 //❌
関数logRequest（）{
    error_log（$ _ server ['request_uri']）;
}

//✅
function logrequest（string $ uri）{
    error_log（$ uri）;
}

// 使用法
logRequest（$ _ server ['request_uri']）;

これにより、CLIまたはAPIのコンテキストでヘルパーが柔軟になり、使用可能になります。

6. $ _Serverに注意してください

$_SERVERには有用な情報（ REQUEST_METHOD 、 HTTP_USER_AGENT 、 REMOTE_ADDRなど）が含まれていますが、すべてのキーが存在することが保証されているわけではありません。常に確認してください：

 $ method = $ _server ['request_method'] ?? '得る';
$ ip = $ _server ['remote_addr'] ?? '未知';

覚えておいてください： $_SERVER CLIモードでスプーフィングまたは欠落している可能性があります。重要なロジック（レート制限など）については、信頼できるプロキシまたはミドルウェアを使用して信頼できる値を設定することを検討してください。

最終的な考え

スーパーグロバルは悪ではなく、ツールです。問題は、それらが不注意に使用され、緊密な結合と予測不可能な動作を作成するときに発生します。

• 入力を早期に抽出して消毒します
• 抽象化でスーパーグロバルをラップします
• 使用する前に検証します
• ビジネスロジックをグローバルな依存関係から解放してください
• テスト可能性と再利用のための設計

スーパーグロバルをドメインモデルの一部としてではなく、生の入力ソースとして扱うことにより、コードをよりメンテナンスしやすく、安全で、テストしやすくします。

基本的に、 $_GET 、 $_POST 、および友人のような友人を扱います。

以上がグローバル状態の飼い慣らし：PHPスーパーグロバルを効果的に使用するための戦略の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。