Menguasai PHP Superglobals: menyelam mendalam ke dalam skop global

Superglobals dalam PHP dipratentukan, pembolehubah yang sentiasa tersedia yang memegang data dari input pengguna, persekitaran pelayan, sesi, dan banyak lagi, boleh diakses dalam semua skop tanpa pengisytiharan. Superglobal utama adalah: $ get - data dari parameter URL; $ Pos - data dari permintaan pos HTTP seperti borang; $ Permintaan - gabungan $ mendapatkan, $ pos, dan $ cookie, dikawal oleh konfigurasi PHP; $ Sesi - data sesi berterusan merentasi permintaan; $ Cookie-kuki-sentuhan klien; $ Pelayan - Maklumat konteks pelayan dan pelaksanaan; $ Fail - butiran fail yang dimuat naik; $ Env - pembolehubah persekitaran; dan $ globals - Rujukan kepada semua pembolehubah global. Risiko keselamatan utama timbul apabila pemaju merawat data superglobal sebagai dipercayai, tetapi nilai dari $ GET, $ post, dan $ cookie dikawal pengguna dan boleh dimanipulasi, menjadikan mereka terdedah kepada serangan seperti XSS dan suntikan SQL. Sebagai contoh, secara langsung mengeluarkan $ get ['nama'] boleh membawa kepada skrip lintas tapak jika tidak dibersihkan. Perangkap biasa termasuk bergantung pada permintaan $, yang boleh menyebabkan kekaburan disebabkan oleh sumber input yang bertindih bergantung kepada arahan pembolehubah_order; gagal mengesahkan atau membersihkan input; dan menggunakan nilai superglobal yang tidak berasas dalam pertanyaan pangkalan data, yang membuka pintu kepada suntikan SQL. Amalan terbaik termasuk: lebih suka $ mendapatkan dan $ pos lebih $ permintaan untuk kejelasan dan keselamatan; Mengesahkan dan sanitizing input menggunakan fungsi seperti filter_input () atau filter_var (), seperti mengesahkan e -mel dengan filter_validate_email atau melarikan diri output dengan htmlspecialchars (); menggunakan kenyataan yang disediakan dengan PDO atau MySQLI semasa bekerja dengan pertanyaan pangkalan data untuk mencegah suntikan SQL; Memeriksa kewujudan dan status kunci yang tidak kosong sebelum digunakan dengan isset () dan! kosong (); mengelakkan pengubahsuaian $ GET dan $ pos kerana mereka harus mencerminkan permintaan asal; Berhati-hati dengan nilai pelayan $ seperti http_user_agent atau http_referer, yang dibekalkan pengguna dan boleh menjadi spoofed, sehingga tidak sesuai untuk logik keselamatan; Dan pemahaman bahawa walaupun $ globals membolehkan akses kepada semua pembolehubah global dalam fungsi, ia harus dielakkan memihak kepada parameter yang jelas untuk mengekalkan kesesuaian kod dan kebolehprediksi. Akhirnya, superglobal adalah penting dalam pembangunan PHP, tetapi ia mesti digunakan dengan berhati -hati, niat, dan pengendalian input yang betul untuk memastikan aplikasi yang selamat dan dikekalkan.

Apabila bekerja dengan PHP, memahami bagaimana data mengalir melalui aplikasi anda adalah penting - dan di tengah -tengah ini terletak superglobals PHP. Pembolehubah terbina dalam ini sentiasa tersedia, tanpa mengira skop, menjadikannya alat yang kuat untuk pengendalian permintaan, sesi, kuki, dan banyak lagi. Tetapi dengan kuasa besar datang tanggungjawab yang besar. Menyalahgunakan superglobal boleh membawa kepada kelemahan keselamatan dan kod keras-debug. Mari kita lihat dengan lebih dekat apa yang superglobal, bagaimana mereka berfungsi, dan amalan terbaik untuk menggunakannya dengan berkesan.

Apa itu superglobals?

Superglobals adalah pembolehubah yang telah ditetapkan dalam PHP yang tersedia secara automatik dalam semua skop - fungsi global, atau kelas - tanpa perlu mengisytiharkan mereka dengan global . Mereka adalah array bersekutu yang memegang data dari pelbagai sumber, seperti input pengguna, maklumat pelayan, dan data sesi.

Superglobal utama adalah:

• $_GET - Data dihantar melalui parameter URL (String query)
• $_POST - Data yang dihantar melalui kaedah pos HTTP (misalnya, borang penyerahan)
• $_REQUEST - gabungan $_GET , $_POST , dan $_COOKIE (boleh dikonfigurasikan)
• $_SESSION - Pemboleh ubah sesi disimpan di seluruh permintaan
• $_COOKIE - kuki yang dihantar oleh pelanggan
• $_SERVER - Maklumat persekitaran pelayan dan pelaksanaan
• $_FILES - Fail yang dimuat naik melalui borang
• $_ENV - Pembolehubah persekitaran
• $GLOBALS - Rujukan kepada semua pembolehubah yang terdapat dalam skop global

Kerana mereka sentiasa boleh diakses, anda boleh menggunakannya di dalam fungsi tanpa mengimport mereka - tetapi itu tidak bermakna anda harus menggunakannya dengan bebas.

Perangkap biasa dan risiko keselamatan

Salah satu pembangun kesilapan terbesar adalah merawat superglobals sebagai input yang dipercayai. Mereka tidak. Mana -mana data dari $_GET , $_POST , atau $_COOKIE berasal dari pelanggan dan boleh dimanipulasi.

Contohnya:

 Echo "Hello,". $ _Get ['name'];

Garis mudah ini terdedah kepada XSS (skrip lintas tapak) jika seseorang melewati <script>alert(&#39;hacked&#39;)</script> sebagai parameter name .

Isu -isu biasa lain termasuk:

• Bergantung pada $_REQUEST - kerana ia menggabungkan pelbagai sumber input, ia boleh membawa kepada kekaburan. Sebagai contoh, jika kedua -dua parameter GET dan medan pos wujud dengan nama yang sama, yang mana yang perlu diutamakan? (Ia bergantung kepada Arahan variables_order dalam php.ini.)
• Tidak mengesahkan atau membersihkan input - hanya kerana data datang melalui $_POST tidak menjadikannya selamat.
• Menggunakan superglobals secara langsung dalam pertanyaan - melakukan sesuatu seperti mysqli_query($conn, "SELECT * FROM users WHERE id = $_GET[id]") membuka pintu kepada suntikan SQL.

Sentiasa merawat data superglobal sebagai tidak dipercayai dan membersihkan/mengesahkannya sebelum digunakan.

Amalan terbaik untuk menggunakan superglobals

Untuk menggunakan superglobal dengan selamat dan berkesan, ikuti garis panduan ini:

• Lebih suka $_GET dan $_POST lebih dari $_REQUEST
  Jadilah eksplisit di mana data anda datang. Jika anda mengharapkan data borang, gunakan $_POST . Jika parameter URL parsing, gunakan $_GET . Ini menjadikan kod anda lebih diramalkan dan selamat.

• Mengesahkan dan membersihkan semua input
  Gunakan fungsi penapis PHP:

   $ email = filter_input (input_post, 'e -mel', filter_validate_email);
  $ usia = filter_input (input_post, 'usia', filter_validate_int);

  Atau gunakan filter_var() pada nilai superglobal:

   $ clean_name = htmlspecialChars ($ _ post ['name'], ent_quotes, 'utf-8');

• Gunakan pernyataan yang disediakan dengan data $_POST atau $_GET
  Jangan sesekali interpolasi nilai superglobal terus ke SQL. Gunakan kenyataan PDO atau MySQLI yang disediakan:

   $ STMT = $ pdo-> Sediakan ("Pilih * dari pengguna di mana e-mel =?");
  $ stmt-> Execute ([$ _ post ['e-mel']]);

• Inisialisasi dan periksa sebelum menggunakan
  Sentiasa sahkan bahawa kunci wujud dan tidak kosong:

   jika (isset ($ _ post ['hantar']) &&! kosong ($ _ post ['e -mel'])) {
      // borang proses
  }

• Elakkan mengubah suai superglobals
  Walaupun anda boleh menulis ke $_SESSION atau $_COOKIE , elakkan mengubah $_GET atau $_POST . Ini harus mencerminkan permintaan asal.

• Berhati -hati dengan $_SERVER
  Walaupun $_SERVER kelihatan selamat, beberapa nilai seperti HTTP_USER_AGENT atau HTTP_REFERER adalah pengguna yang dibekalkan dan boleh dibuang. Jangan gunakannya untuk keputusan keselamatan.

Memahami skop dan $GLOBALS

Tidak seperti superglobal lain, $GLOBALS memberikan rujukan kepada semua pembolehubah dalam skop global. Contohnya:

 $ name = "Alice";

fungsi salam () {
    echo $ globals ['name']; // output: Alice
}

Walaupun ini berguna untuk mengakses pembolehubah global di dalam fungsi, umumnya lebih baik untuk melepasi kebergantungan secara eksplisit. Bergantung pada $GLOBALS menjadikan kod lebih sukar untuk menguji dan mengekalkan.

Elakkan corak seperti:

 fungsi mengira () {
    $ Globals ['total'] = $ globals ['a'] $ globals ['b'];
}

Sebaliknya, lebih suka:

 Fungsi Hitung ($ A, $ b) {
    kembali $ a $ b;
}

Ini menjadikan fungsi anda tulen dan boleh diramalkan.

Superglobals adalah bahagian asas PHP, dan menguasai mereka bermakna memahami kemudahan dan risiko mereka. Gunakannya dengan niat, sahkan semua input, dan jangan menganggap data klien adalah selamat. Dengan pengendalian yang berhati -hati, superglobals boleh menjadi sekutu yang kuat dalam membina aplikasi web yang dinamik dan bersemangat.

Pada asasnya, ia bukan tentang mengelakkan mereka - ia menggunakannya dengan bijak.

Atas ialah kandungan terperinci Menguasai PHP Superglobals: menyelam mendalam ke dalam skop global. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!