Web安全-PHP超级全局变量与魔术常量
超级全局变量在PHP 4.1.0之后被启用, 是PHP系统中自带的变量,在一个脚本的全部作用域中都可用
超级全局变量汇总
$GLOBALS:该变量是一个包含所有全局变量的关联数组,每个全局变量名就是一个键
<?php
$a=1;
$b=2;
function test(){
$GLOBALS["c"] = $GLOBALS["a"]+$GLOBALS["b"];
}
test();
echo $c;
?>
最后我们发现是能够输出$c的值的,但是我们通常不推荐如此使用,而且假使进行如下操作,你将获得所有超级全局变量的情况
<?php
$a=1;
$b=2;
function test(){
$GLOBALS["c"] = $GLOBALS["a"]+$GLOBALS["b"];
}
test();
foreach($GLOBALS as $k=>$v){
echo $k." ".$v."\n";
}
?>
$_SERVER:此变量由web服务器提供(但不是每个web服务器都会提供全部信息),下面是使用示例
<?php
echo $_SERVER['PHP_SELF']; // 获取当前PHP脚本名
echo $_SERVER['SERVER_NAME']; // 获取当前运行 PHP 程序的服务器的主机名或 IP 地址
echo $_SERVER['HTTP_HOST']; // 获取客户端请求中的主机头部信息的 PHP 超全局变量。它包含了当前请求的 目标网站的域名或 IP 地址
echo $_SERVER['HTTP_REFERER']; // 用于获取客户端请求中的 Referer 头部信息。Referer 头部信息记录 了用户从哪个页面链接而来访问当前页面
echo $_SERVER['HTTP_USER_AGENT'];// 用于获取客户端浏览器的用户代理字符串(User-Agent String)
echo $_SERVER['SCRIPT_NAME'];// 用于获取当前执行脚本的文件路径
?>
需要注意的是,该变量可以获取报文中各个头部的信息,以供脚本进行使用,下面附一张来自菜鸟教程的表格,PHP 超级全局变量 | 菜鸟教程 (runoob.com)
| 元素/代码 | 描述 |
|---|---|
| $_SERVER[‘PHP_SELF’] | 当前执行脚本的文件名,与 document root 有关。例如,在地址为 http://example.com/test.php/foo.bar 的脚本中使用 $_SERVER[‘PHP_SELF’] 将得到 /test.php/foo.bar。FILE 常量包含当前(例如包含)文件的完整路径和文件名。 从 PHP 4.3.0 版本开始,如果 PHP 以命令行模式运行,这个变量将包含脚本名。之前的版本该变量不可用。 |
| $_SERVER[‘GATEWAY_INTERFACE’] | 服务器使用的 CGI 规范的版本;例如,“CGI/1.1”。 |
| $_SERVER[‘SERVER_ADDR’] | 当前运行脚本所在的服务器的 IP 地址。 |
| $_SERVER[‘SERVER_NAME’] | 当前运行脚本所在的服务器的主机名。如果脚本运行于虚拟主机中,该名称是由那个虚拟主机所设置的值决定。(如: www.runoob.com) |
| $_SERVER[‘SERVER_SOFTWARE’] | 服务器标识字符串,在响应请求时的头信息中给出。 (如:Apache/2.2.24) |
| $_SERVER[‘SERVER_PROTOCOL’] | 请求页面时通信协议的名称和版本。例如,“HTTP/1.0”。 |
| $_SERVER[‘REQUEST_METHOD’] | 访问页面使用的请求方法;例如,“GET”, “HEAD”,“POST”,“PUT”。 |
| $_SERVER[‘REQUEST_TIME’] | 请求开始时的时间戳。从 PHP 5.1.0 起可用。 (如:1377687496) |
| $_SERVER[‘QUERY_STRING’] | query string(查询字符串),如果有的话,通过它进行页面访问。 |
| $_SERVER[‘HTTP_ACCEPT’] | 当前请求头中 Accept: 项的内容,如果存在的话。 |
| $_SERVER[‘HTTP_ACCEPT_CHARSET’] | 当前请求头中 Accept-Charset: 项的内容,如果存在的话。例如:“iso-8859-1,*,utf-8”。 |
| $_SERVER[‘HTTP_HOST’] | 当前请求头中 Host: 项的内容,如果存在的话。 |
| $_SERVER[‘HTTP_REFERER’] | 引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。) |
| $_SERVER[‘HTTPS’] | 如果脚本是通过 HTTPS 协议被访问,则被设为一个非空的值。 |
| $_SERVER[‘REMOTE_ADDR’] | 浏览当前页面的用户的 IP 地址。 |
| $_SERVER[‘REMOTE_HOST’] | 浏览当前页面的用户的主机名。DNS 反向解析不依赖于用户的 REMOTE_ADDR。 |
| $_SERVER[‘REMOTE_PORT’] | 用户机器上连接到 Web 服务器所使用的端口号。 |
| $_SERVER[‘SCRIPT_FILENAME’] | 当前执行脚本的绝对路径。 |
| $_SERVER[‘SERVER_ADMIN’] | 该值指明了 Apache 服务器配置文件中的 SERVER_ADMIN 参数。如果脚本运行在一个虚拟主机上,则该值是那个虚拟主机的值。(如:someone@runoob.com) |
| $_SERVER[‘SERVER_PORT’] | Web 服务器使用的端口。默认值为 “80”。如果使用 SSL 安全连接,则这个值为用户设置的 HTTP 端口。 |
| $_SERVER[‘SERVER_SIGNATURE’] | 包含了服务器版本和虚拟主机名的字符串。 |
| $_SERVER[‘PATH_TRANSLATED’] | 当前脚本所在文件系统(非文档根目录)的基本路径。这是在服务器进行虚拟到真实路径的映像后的结果。 |
| $_SERVER[‘SCRIPT_NAME’] | 包含当前脚本的路径。这在页面需要指向自己时非常有用。FILE 常量包含当前脚本(例如包含文件)的完整路径和文件名。 |
| $_SERVER[‘SCRIPT_URI’] | URI 用来指定要访问的页面。例如 “/index.html”。 |
$_REQUEST:用于收集HTML表单提交的数据。通常用于接收form表单中的输入信息,它可以接收不同方法传递的数据,包含了$_GET、$_POST和$_COOKIE中的所有变量
<form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
TestName: <input type="text" name="test">
<input type="submit">
</form>
<?php
$name = $_REQUEST['test'];
echo $name;
?>
需要注意的是,这里的单引号是不能用双引号代替的,否则将产生歧义
$_POST:该变量与$_REQUEST的不同在于它只会收集POST请求产生的数据$_GET:该变量与$_REQUEST的不同在于它只会收集GET请求产生的数据$_FILES:是用于上传文件的超全局变量在表单中使用enctype="multipart/form-data"属性将表单编码类型设置为支持文件上传后,就可以通过$_FILES从请求中获取上传的文件相关信息
<?php
// 检查是否上传成功
if ($_FILES['file']['error'] === UPLOAD_ERR_OK) {
// 获取上传的文件名
$filename = $_FILES['file']['name'];
// 将文件移动到指定目录
move_uploaded_file($_FILES['file']['tmp_name'], '/path/to/upload/directory/' . $filename);
echo '文件上传成功!';
} else {
echo '文件上传失败:' . $_FILES['file']['error'];
}
?>
$_ENV:用于存储环境变量,如果在操作系统中没有设置相应的环境变量或者权限不足,那么使用$_ENV可能会失败,如下在连接数据库时使用的比对用户名与密码代码示例
<?php
$database_user = $_ENV['DB_USER'];
$database_password = $_ENV['DB_PASSWORD'];
// 连接数据库并执行查询等操作
...
?>
$_COOKIE:用于存储客户端浏览器发送的 Cookie 数据$_SESSION:用于存储在服务器端创建的会话数据
<?php
// 设置 Cookie,有效期为一小时
setcookie('username', 'test', time() + 3600);
// 获取 Cookie 值
$username = $_COOKIE['username'];
// 输出 Cookie 值
echo "欢迎回来,{$username}!";
?>
<?php
// 开启会话
session_start();
// 存储会话数据
$_SESSION['username'] = 'john';
// 获取会话数据
$username = $_SESSION['username'];
// 输出会话数据
echo "欢迎回来,{$username}!";
?>
二者简单使用如上述示例
魔术常量
PHP 提供了大量的预定义常量。但是很多常量都是由不同的扩展库定义的,只有在加载了这些扩展库时才能使用,或者动态加载后,或者在编译时已经包括进去了。有八个魔术常量它们的值随着它们在代码中的位置改变而改变,并且他们不区分大小写。
__LINE__:用于输出当前代码的行数,并且包含空行
<?php
echo __line__;
?>
__FILE__:用于返回文件的完整路径和文件名。如果用在被包含文件中,则返回被包含的文件名
<?php
echo __file__;
?>
注意:自 PHP 4.0.2 起,__FILE__总是包含一个绝对路径(解析后的绝对路径),而在此之前的版本有时会包含一个相对路径
__DIR__:用于返回文件所在的目录。如果用在被包含文件中,则返回被包括的文件所在的目录。
<?php
echo __dir__;
?>
__FUNCTION__:用于返回函数名称(PHP 4.3.0 后出现),并且在 PHP 4 中该值总是小写字母, PHP 5 起本常量返回该函数被定义时的名字(区分大小写)。
<?php
function test() {
echo __function__;
}
test();
?>
__CLASS__: 用于返回类的名称(PHP 4.3.0 后出现),PHP 5 起本常量返回该类被定义时的名字(区分大小写),但是在 PHP 4 中该值总是小写字母
<?php
class test {
function print() {
echo __class__ ;
echo __function__ ;
}
}
$temp = new test();
$temp->print();
?>
__TRAIT__:用于在类继承时共享同名方法
<?php
class Base {
public function test() {
echo 'Hello ';
}
}
trait Test {
public function test() {
parent::test();
echo 'World!';
}
}
class Temp extends Base {
use Test;
}
$object= new Temp();
$object->test();
?>
__METHOD__:用于返回方法的名字,是PHP 5中新加的,使用方式与__function__类似
<?php
class Test{
public function fun(){
echo "Hello World\n";
echo __METHOD__."\n";
}
}
function test(){
echo __METHOD__;
}
$object =new Test();
$object->fun();
test();
?>
输出如下:
Hello World
Test::fun
test
__NAMESPACE__:用于返回当前命名空间
<?php
namespace Hello_World;
echo __NAMESPACE__;
?>
自此笔记结束
1196
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
