PHP, sebagai bahasa skrip sebelah pelayan yang sangat popular, biasanya digunakan untuk membangunkan tapak web dinamik dan aplikasi web. Apabila pembangun menggunakan PHP, mereka selalunya perlu mengakses tatasusunan luaran untuk mendapatkan dan memproses data. Walau bagaimanapun, sesetengah pembangun menghadapi masalah di mana tatasusunan luaran tidak boleh diakses. Jadi, mengapakah PHP tidak boleh mengakses tatasusunan luaran?
Pertama, kita perlu memahami cara PHP berfungsi. PHP ialah bahasa yang ditafsirkan, dan cara ia berfungsi ialah kod PHP ditafsirkan ke dalam arahan yang boleh difahami oleh mesin dan kemudian dilaksanakan baris demi baris. Semasa pelaksanaan, PHP menggunakan tatasusunan dalaman untuk menyimpan semua pembolehubah dan nilai. Tatasusunan ini dipanggil Tatasusunan SuperGlobal.
Superglobal array ialah konsep yang sangat penting dalam PHP, yang mengandungi semua pembolehubah dan data program PHP. Apabila program PHP dilaksanakan, tatasusunan superglobal diisi secara automatik dengan pembolehubah dan data yang diperlukan. Tatasusunan superglobal ialah tatasusunan khas yang boleh digunakan untuk berkongsi data sepanjang aplikasi PHP Tatasusunan superglobal yang biasa digunakan termasuk $_GET, $_POST, $_COOKIE dan $_SESSION, dsb.
Walau bagaimanapun, atas sebab keselamatan, PHP tidak membenarkan akses kepada tatasusunan luaran. Kod yang mengakses tatasusunan luaran boleh membawa kepada kelemahan keselamatan kerana ia membenarkan penyerang mengganggu data pada pelayan atau melaksanakan kod berniat jahat dengan membina URL tertentu. Sebagai contoh, katakan anda menggunakan kod berikut:
$user = $_GET['user']; $pwd = $_GET['pwd']; if ($user == 'admin' && $pwd == 'password') { echo 'Welcome admin!'; }
Jika penyerang menetapkan URL kepada www.example.com/login.php?user=admin&pwd=password
, maka mereka boleh mengakses sistem dengan mudah dan melaksanakan kod hasad yang boleh menjejaskan sistem. Ini kerana PHP tidak dapat membezakan tatasusunan mana yang datang daripada sumber undang-undang dan tatasusunan mana yang datang daripada sumber haram.
Untuk mengelakkan perkara ini berlaku, PHP menggunakan mekanisme yang dipanggil "mod selamat", yang menyekat keupayaan untuk mengakses tatasusunan luaran. Secara lalai, mod selamat didayakan dan tidak membenarkan akses kepada tatasusunan luaran. Pembangun boleh melumpuhkan mod selamat dengan mengubah suai fail konfigurasi PHP, tetapi ini tidak disyorkan kerana ia boleh membawa kepada risiko keselamatan.
Selain itu, PHP juga menyediakan beberapa alternatif untuk mendapatkan dan memproses data luaran, seperti menggunakan tatasusunan super-global seperti $_POST, $_GET dan $_REQUEST, dan menggunakan perpustakaan cURL untuk mendapatkan data jauh. Fungsi dan perpustakaan ini dianggap selamat kerana mempunyai mekanisme semakan keselamatan tertentu.
Ringkasnya, PHP tidak boleh mengakses tatasusunan luaran atas sebab keselamatan. Walaupun pembangun tidak boleh mengakses tatasusunan luaran secara langsung, mereka boleh menggunakan kaedah lain yang disediakan oleh PHP untuk mendapatkan dan memproses data bagi memastikan keselamatan sistem.
Atas ialah kandungan terperinci Mengapa php tidak boleh mengakses tatasusunan luaran. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!