慎用PHP$_REQUEST数组

最新推荐文章于 2024-09-06 11:24:44 发布

2号自信

最新推荐文章于 2024-09-06 11:24:44 发布

阅读量1.3k

点赞数

分类专栏： PHP

原文链接：http://www.xiaoxiaozi.com/2009/08/18/1381/

版权

PHP 专栏收录该内容

12 篇文章 1 订阅

订阅专栏

原文地址：慎用PHP$_REQUEST数组作者：小叶子

【转载】慎用PHP$_REQUEST数组

$_GET，$_POST，$_COOKIE，$_REQUEST 若key相同，后面的会覆盖前面（优先级）。

我平时总是喜欢用$_REQUEST这个数组，不是因为别的，简单，而且想用GET时候就用GET直接测试即可。还可以把URL打出来，很是方便。从而很少用$_GET和$_POST超全局变量。

不过，从今以后我会尽量不再使用$_REQUEST这个数组，因为以前对这个数组有些一知半解，总以为用起来简单，并且随心所欲，和$_GET与$_POST一样，而且由系统为我判断，多好。下面我就来简单的介绍一下为何不应该使用$_REQUEST这个数组。

我们都知道，处理表单数据，可以使用PHP的$_GET和$_POST这两个超全局变量，具体是哪个由form表单提交时的method指定。除此之外PHP还为我们提供了$_REQUEST数组。但是其不仅包含$_GET和$_POST的所有数据元素，同时其还会包含$_COOKIE这个超全局数组的所有数据元素。

可是大家有没有想过，如果这三个数组里面的key相同，那么我用$_REQUEST得到的到底是哪个数组的值呢？会不会有什么问题？

我用如下代码为大家做演示，因为只是想说明问题，所以这里面不对$_COOKIE进行设置，请大家自行处理：

<?php
var_dump($_GET['a'],$_POST['a'],$_REQUEST['a']);
?>
<html>
<head><title>demo</title></head>
<body>
<form method= 'post' action = 'req.php?a=xxx'>
<input type='hidden' name='a' value='yyy'/>
<input type='submit' name='submit' value='submit'/>
</form>
</body>
</html>

当我提交表单的时候，我获取的页面内容为：

string(3) "xxx" string(3) "yyy" string(3) "yyy"

同样的内容，在$_REQUEST里面，POST的值覆盖了GET的值，这到底是怎么回事呢？

其实这是在PHP的配置文件里面设置的，让我们来看一下php.ini这个配置文件，在第466行左右有如下内容：

; This directive describes the order in which PHP registers GET, POST, Cookie,
; Environment and Built-in variables (G, P, C, E & S respectively, often
; referred to as EGPCS or GPC). Registration is done from left to right, newer
; values override older values.
variables_order = "EGPCS"

这个EGPCS就是说明用$_REQUEST数组获取内容的优先级，其字母的含义分别代表为：E代表$_ENV，G代表$_GET，P代表$_POST，C代表$_COOKIE，S代表$_SESSION。后面出现的数据会覆盖前面写入的数据，其默认的数据写入方式就是EGPCS，所以POST包含的数据将覆盖GET中使用相同关键字的数据。

所以为了避免此问题，我们应该明确的使用$_GET和$_POST全局变量，在要用到$_REQUEST 的时候想一下，是不是真的需要用$_REQUEST，为什么提交的方式不是固定的，这样设计程序是否有问题？是否是设计过度，也许我们为了可扩展性却导致了意想不到的问题发生，这显然是不值得的，而且提交方式只能有一种，为什么要考虑两种情况呢？

这里同时给大家两个建议：

1. 尽量不要设置全域的cookie，如果不是必须的话

2. 建议不使用Request 方法来获取变量

php中有$_request与$_post、$_get用于接受表单数据。

一、$_request与$_post、$_get的区别和特点
$_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过post和get方法提交的所有数据都可以通过$_REQUEST数组获得
二、$_post、$_get的区别和特点
1. get是从服务器上获取数据，post是向服务器传送数据。
2. get是把参数数据队列加到提交表单的ACTION属性所指的URL中，值和表单内各个字段一一对应，在URL中可以看到。post是通过HTTP post机制，将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址。用户看不到这个过程。
3. 对于get方式，服务器端用Request.QueryString获取变量的值，对于post方式，服务器端用Request.Form获取提交的数据。
4. get传送的数据量较小，不能大于2KB。post传送的数据量较大，一般被默认为不受限制。但理论上，IIS4中最大量为80KB，IIS5中为100KB。
5. get安全性非常低，post安全性较高。
举例：mypage?id=1这种就是GET方式传值，可以用$_request和$_get接受传值。