Что такое суперглобальные переменные (superglobals) в PHP? Назовите наиболее распространённые.

Что такое суперглобальные переменные

Суперглобалы — предопределённые массивы PHP, доступные везде: в функциях, методах, замыканиях — без ключевого слова global. PHP заполняет их автоматически при обработке каждого запроса.

Основные суперглобалы

$_GET и $_POST

<?php
// URL: /search?q=php&page=2
$query = $_GET['q']    ?? '';  // 'php'
$page  = (int)($_GET['page'] ?? 1); // 2

// POST-запрос с формы или JSON
$email    = $_POST['email']    ?? '';
$password = $_POST['password'] ?? '';

$_SERVER

<?php
echo $_SERVER['REQUEST_METHOD'];  // 'GET', 'POST', 'PUT'...
echo $_SERVER['REQUEST_URI'];     // '/api/users?page=1'
echo $_SERVER['HTTP_HOST'];       // 'example.com'
echo $_SERVER['REMOTE_ADDR'];     // IP клиента (осторожно: может быть прокси)
echo $_SERVER['HTTP_USER_AGENT']; // строка браузера
echo $_SERVER['SCRIPT_FILENAME']; // абсолютный путь к скрипту

// Реальный IP через прокси (если доверяете заголовкам)
$ip = $_SERVER['HTTP_X_FORWARDED_FOR']
    ?? $_SERVER['HTTP_X_REAL_IP']
    ?? $_SERVER['REMOTE_ADDR'];

$_SESSION и $_COOKIE

<?php
session_start();
$_SESSION['user_id'] = 42;

// Cookie устанавливается через setcookie(), читается через $_COOKIE
$theme = $_COOKIE['theme'] ?? 'light';

$_FILES

<?php
// <input type="file" name="avatar">
if ($_FILES['avatar']['error'] === UPLOAD_ERR_OK) {
    $tmpPath  = $_FILES['avatar']['tmp_name'];
    $origName = basename($_FILES['avatar']['name']);
    $size     = $_FILES['avatar']['size'];     // байты
    $mime     = $_FILES['avatar']['type'];     // НЕ доверять: проверяем сами

    // Проверка реального MIME
    $finfo = new finfo(FILEINFO_MIME_TYPE);
    $realMime = $finfo->file($tmpPath);
    if (!in_array($realMime, ['image/jpeg', 'image/png', 'image/webp'])) {
        throw new RuntimeException('Invalid file type');
    }

    $dest = '/var/uploads/' . bin2hex(random_bytes(8)) . '.jpg';
    move_uploaded_file($tmpPath, $dest);
}

$_ENV и $GLOBALS

<?php
// $_ENV — переменные окружения (если variables_order содержит 'E')
$dbUrl = $_ENV['DATABASE_URL'] ?? getenv('DATABASE_URL');

// $GLOBALS — все переменные глобальной области видимости
$GLOBALS['config'] = ['debug' => false];
// Внутри функции:
function test(): void {
    echo $GLOBALS['config']['debug'] ? 'debug' : 'prod';
}

Подводные камни

• Доверять $_FILES['file']['type']: браузер передаёт MIME-тип как строку, которую легко подделать. Всегда проверяйте через finfo.
• Использовать данные из $_GET/$_POST без валидации и экранирования: прямой путь к XSS и SQL-инъекциям.
• Доверять $_SERVER['REMOTE_ADDR'] в качестве источника истины: за reverse-proxy это будет IP прокси, а HTTP_X_FORWARDED_FOR подделывается клиентом.
• Читать переменные окружения только через $_ENV: если variables_order в php.ini не содержит E, массив пустой — используйте getenv().
• Использовать $_REQUEST: он объединяет GET, POST и COOKIE в один массив, что затрудняет понимание источника данных и порядок приоритетов.
• Изменять $GLOBALS как глобальное состояние: тяжело тестировать и дебажить, предпочитайте dependency injection.
• Хранить чувствительные данные в $_COOKIE без шифрования: cookie доступны на клиенте и могут быть изменены пользователем.

• Сводить superglobals к названию метода без lifecycle и failure path.
• Игнорировать модель runtime: интерпретируемый runtime PHP 8.x, обычно запускаемый как отдельный запрос в FPM, CLI или worker-процессе.
• Не отделять validation, authorization, transaction boundary и business logic.

• Объясняет superglobals через конкретную точку lifecycle в PHP.
• Приводит корректный минимальный пример без вымышленных методов или callbacks.
• Называет edge cases: пустые значения, ошибки, транзакции, безопасность или concurrency.