php代码审计之超全局变量（2）

超全局变量 在 PHP 4.1.0 中引入，是在全部作用域中始终可用的内置变量。

PHP 中的许多预定义变量都是“超全局的”，这意味着它们在一个脚本的全部作用域中都可用。在函数或方法中无需执行 global $variable; 就可以访问它们。

常用的超全局变量有以下9个：

    1. $_GET –> get 传送方式
    2. $_POST –> post 传送方式
    3. $_REQUEST –> 可以接收到 get 和 post 两种方式的值
    4. $GLOBALS –> 引用全局作用域中可用的全部变量
    5. $_FILES –> 上传文件使用
    6. $_SERVER –> 系统环境变量
    7. $_SESSION –> 用于会话控制
    8. $_COOKIE –> 用于会话控制
    9. $_ENV –> 服务器端环境变量

$_GET –> get传送方式

$_GET 可用于收集提交HTML表单之后的表单数据，也可以收集 URL 中的发送的数据。

例如访问

http://localhost/test.php?id=1&key=11

源码如下：

<?php 
print_r($_GET);
?>

显示如图：

$_POST –> post传送方式

跟get类似，就不啰嗦了

<?php 
print_r($_GET);
?>

$_REQUEST –> 可以接收到 get,post和cookie的值

PHP $_REQUEST 用于收集 HTML表单提交的数据。使用超级全局变量 $_REQUEST 来收集input的值：

<html>
<body>
    <form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
        Name: <input type="text" name="fname">
        <input type="submit">
    </form>

<?php 
    $name = $_REQUEST['fname']; 
    echo $name; 
?>

</body>
</html>

可以直接打印出来

<?php 
print_r($_GET);
?>

$GLOBALS –> 引用全局作用域中可用的全部变量

$GLOBALS 用于在PHP脚本中的任意位置访问全局变量。PHP在名为$GLOBALS[index]的数组中存储了所有全局变量。当在局部范围不可以使用全局变量，但又需要使用该全局变量，就使用$GLOBALS。

使用方法：

<?php
function test(){
echo $x="2";//局部变量x=2
echo $GLOBALS['x'];//输出全局变量x
}
echo $x="1";//全局变量x=1
test();
?>

先输出x=1,在输出test（），其中局部变量中定义的x=2，但是$GLOBALS输出的是全局变量，所以输出x=1，最后结果如图

$_FILES –>文件上传变量

这里是一个上传表单

<html>
<body>
    <form action="upload_file.php" method="post" enctype="multipart/form-data">
        <label for="file">Filename:</label>
        <input type="file" name="file" id="file" /> 
        <input type="submit" name="submit" value="Submit" />
    </form>
</body>
</html>

这是test.php，会打印出上传的信息。

<?php 
print_r($_FILES);
?>

$_FILES 超级全局变量包含通过POST方法向服务器上传的数据的有关信息。这个超级全局变量与其他的变量有所不同，它是一个二维数组，包含5个元素。

$_FILES[‘userfile’][‘name’] 	客户端机器文件的原名称
$_FILES[‘userfile’][‘type’] 	文件的 MIME 类型，需要浏览器提供该信息的支持，例如“image/gif”
$_FILES[‘userfile’][‘size’] 	已上传文件的大小，单位为字节
$_FILES[‘userfile’][‘tmp_name’] 	文件被上传后在服务端储存的临时文件名
$_FILES[‘userfile’][‘error’] 	和该文件上传相关的错误代码。

[‘error’] 是在 PHP 4.2.0 版本中增加的。尽管这个变量的名为error，但实际上在成功的情况下也会填写这个变量。它有五个可能的值

1.在 PHP 4.1.0 版本以前该数组的名称为 $HTTP_POST_FILES，它并不像 $_FILES 一样是自动全局变量。PHP 3 不支持 $HTTP_POST_FILES 数组。
2.如果表单中没有选择上传的文件，则PHP变量$_FILES[‘userfile’][‘size’]的值将为 0，$_FILES[‘userfile’][‘tmp_name’]将为none。
3.error字段可能的5个值：
    UPLOAD_ERR_OK 文件成功上传
    UPLOAD_ERR_INI_SIZE 文件大小超出了
    MAX_FILE_SIZE 指令所指定的最大值。
    UPLOAD_ERR_FORM_SIZE 文件大小超出了MAX_FILE_SIZE 隐藏表单域参数（可选）指定的最大值。
    UPLOAD_ERR_PARTIAL 文件只上传了一部分UPLOAD_ERR_NO_FILE 上传表单中没有指定文件

$_SERVER –> 服务器和执行环境信息

$_SERVER保存关于服务器和执行环境信息的信息。

<?php 
print_r($_SERVER);
?>

常用的：

$_SERVER[‘PHP_SELF’] 	返回当前执行脚本的文件名。
$_SERVER[‘GATEWAY_INTERFACE’] 	返回服务器使用的 CGI 规范的版本。
$_SERVER[‘SERVER_ADDR’] 	返回当前运行脚本所在的服务器的 IP 地址。
$_SERVER[‘SERVER_NAME’] 	返回当前运行脚本所在的服务器的主机名（比如 www.xxxx.com）。
$_SERVER[‘SERVER_SOFTWARE’] 	返回服务器标识字符串（比如 Apache/2.2.24）。
$_SERVER[‘SERVER_PROTOCOL’] 	返回请求页面时通信协议的名称和版本（例如，“HTTP/1.0”）。
$_SERVER[‘REQUEST_METHOD’] 	返回访问页面使用的请求方法（例如 POST）。
$_SERVER[‘REQUEST_TIME’] 	返回请求开始时的时间戳（例如 1577687494）。
$_SERVER[‘QUERY_STRING’] 	返回查询字符串，如果是通过查询字符串访问此页面。
$_SERVER[‘HTTP_ACCEPT’] 	返回来自当前请求的请求头。
$_SERVER[‘HTTP_ACCEPT_CHARSET’] 	返回来自当前请求的 Accept_Charset 头（例如 utf-8,ISO-8859-1）
$_SERVER[‘HTTP_HOST’] 	返回来自当前请求的 Host 头。
$_SERVER[‘HTTP_REFERER’] 	返回当前页面的完整 URL（不可靠，因为不是所有用户代理都支持）。
$_SERVER[‘HTTPS’] 	是否通过安全 HTTP 协议查询脚本。
$_SERVER[‘REMOTE_ADDR’] 	返回浏览当前页面的用户的 IP 地址。
$_SERVER[‘REMOTE_HOST’] 	返回浏览当前页面的用户的主机名。
$_SERVER[‘REMOTE_PORT’] 	返回用户机器上连接到 Web 服务器所使用的端口号。
$_SERVER[‘SCRIPT_FILENAME’] 	返回当前执行脚本的绝对路径。
$_SERVER[‘SERVER_ADMIN’] 	该值指明了 Apache 服务器配置文件中的 SERVER_ADMIN 参数。
$_SERVER[‘SERVER_PORT’] 	Web 服务器使用的端口。默认值为 “80”。
$_SERVER[‘SERVER_SIGNATURE’] 	返回服务器版本和虚拟主机名。
$_SERVER[‘PATH_TRANSLATED’] 	当前脚本所在文件系统（非文档根目录）的基本路径。
$_SERVER[‘SCRIPT_NAME’] 	返回当前脚本的路径。
$_SERVER[‘SCRIPT_URI’] 	返回当前页面的 URI。

$_SESSION –> 用于会话控制

PHP session 变量用于存储有关用户会话的信息，或更改用户会话的设置。Session 变量保存的信息是单一用户的，并且可供应用程序中的所有页面使用。

Session为每个访问者创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，亦或通过 URL 进行传导。

1.开始Session :
在把用户信息存储到 PHP session 中之前，首先必须启动会话。

• session_start() 函数必须位于标签之前

<?php session_start(); ?>

<html>
<body>

</body>
</html>

2.存储和使用Session变量：

<?php
session_start();
// store session data
$_SESSION['x']=1;
?>

<html>
<body>

<?php
//retrieve session data
echo "Pageviews=". $_SESSION['x'];
?>

</body>
</html>

3.终结Session
可以使用 unset() 或 session_destroy() 函数删除某些session数据
通过 unset() 函数用于释放指定的 session 变量：

<?php
unset($_SESSION['x']);
?>

//通过 session_destroy() 函数彻底终结 session：
<?php
session_destroy();
?>

• session_destroy() 函数将重置 session，将失去所有已存储的 session 数据。

$_COOKIE –> 用于会话控制

cookie用于识别用户，是服务器留在用户计算机中的小文件。当计算机通过浏览器请求页面时，它同时会发送cookie。通过PHP能够创建并取回cookie的值。

1.创建 Cookie

语法：
setcookie(name, value, expire, path, domain);

示例：

<?php 
setcookie("user", "rayi", time()+3600);
//创建名为 "user" 的 cookie，把为它赋值 "rayi"。同时规定此cookie在一小时后过期
?>

2.取回Cookie值
取回了名为 “user” 的 cookie 的值，并把它显示在页面上：

<?php
// Print a cookie
echo $_COOKIE["user"];

// A way to view all cookies
print_r($_COOKIE);
?>

//示例b：使用 isset() 函数来确认是否已设置了 cookie
<html>
<body>

<?php
if (isset($_COOKIE["user"]))
  echo "Welcome " . $_COOKIE["user"] . "!<br />";
else
  echo "Hi<br />";
?>

</body>
</html>

$_ENV –> 服务器端环境变量

PHP中的$_ENV是一个包含服务器端环境变量的数组，如图

输出内容格式清晰，ThinkPHP可以直接用dump()

var_dump($_ENV);

打印：

print_r($_ENV);

输出key-value键值对:

foreach($_ENV as $key=>$val){echo $key.'--------'.$val.'<br>';}

覆盖(把OS覆盖为11111)：

print_r($_ENV['[OS]']="11111");