php 各版本 $_get、$_post 行为一致但解析逻辑不同:5.6 前 url 解码在 cgi 层,7.0+ 更严格遵循 rfc 3986;8.0+$_server[‘query_string’] 不再自动解码,需显式 urldecode()。
PHP 5.6 和 7.0+ 的 $_GET、$_POST 行为一致,但底层解析逻辑变了
PHP 各版本对参数的“获取方式”本身没变——$_GET、$_POST、$_REQUEST 这些超全局变量始终可用。真正有差异的是:参数何时被解析、如何被解码、以及非法编码时的容错表现。
比如 PHP 5.6 默认用 mbstring.encoding_translation = Off,而 PHP 7.0+ 默认启用 mbstring.http_input = UTF-8,这会影响 %C3%A9 这类 URL 编码的解码结果。不是拿不到参数,而是拿到的内容可能已被错误转码。
- PHP 5.4–5.6:URL 解码发生在 CGI 层(如 Apache mod_php),
$_GET值是“原始解码后”的字符串,但不校验编码合法性 - PHP 7.0+:引入更严格的 RFC 3986 兼容解析,遇到非法百分号编码(如
%xx中 x 不是十六进制)会保留原样,不再静默替换为空格或丢弃 - 所有版本中,
parse_str()的行为也不同:PHP 7.2+ 默认不覆盖已有变量,而老版本默认覆盖,容易引发变量污染
filter_input() 在 PHP 5.2+ 都可用,但过滤规则支持度不同
用 filter_input() 取参比直接读 $_GET 更安全,但要注意版本对 FILTER_SANITIZE_STRING 等常量的支持变化。
PHP 5.2 引入该函数,但直到 PHP 5.4 才支持 FILTER_FLAG_STRIP_LOW;PHP 7.4 起彻底移除了 FILTER_SANITIZE_STRING(它实际只是删标签,名不副实),换成 FILTER_SANITIZE_SPECIAL_CHARS 或手动 htmlspecialchars()。
立即学习 “PHP 免费学习笔记(深入)”;
- PHP 5.2–5.3:能用
filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT),但别指望FILTER_SANITIZE_ENCODED处理中文 URL 安全 - PHP 7.0+:
FILTER_UNSAFE_RAW是默认过滤器,不等于“不处理”,它仍会做基础的空白截断和 NUL 字符清理 - 跨版本兼容写法:优先用
FILTER_VALIDATE_INT/FILTER_VALIDATE_EMAIL,避免依赖已废弃的 sanitize 类型
PHP 8.0+ 的 $_SERVER['QUERY_STRING'] 不再自动 URL 解码
这是最容易踩坑的点:PHP 8.0 开始,$_SERVER['QUERY_STRING'] 返回原始未解码字符串(如 name=hello%20world),而之前版本返回的是已解码的(name=hello world)。这不是 bug,是修复——因为 CGI 规范要求 QUERY_STRING 保持原始编码。
如果你以前靠 parse_str($_SERVER['QUERY_STRING'], $qs) 构造参数数组,PHP 8.0 下会得到错误结果(空格变成 %20,中文变成乱码),必须显式调用 urldecode()。
- PHP parse_str($_SERVER[‘QUERY_STRING’]) 可直接用
- PHP ≥ 8.0:
parse_str(urldecode($_SERVER['QUERY_STRING']), $qs)才等价 - 更稳妥做法:统一走
$_GET/$_POST,它们在所有版本中都已完成解码,无需手动干预
自定义解析(如 file_get_contents('php://input'))在 PHP 7.0+ 更严格
当处理 JSON、XML 或原始 POST body 时,php://input 是常用入口。PHP 7.0 起,它只在 Content-Type 不匹配 application/x-www-form-urlencoded 或 multipart/form-data 时才可读取;PHP 5.x 则只要没调用 $_POST 就还能读。
这意味着:如果前端发了 Content-Type: application/json,PHP 7.0+ 的 $_POST 为空,php://input 可读;但如果误设成 text/plain,PHP 7.0+ 仍会尝试解析为表单数据,导致 php://input 为空,而 $_POST 也为空——参数彻底丢失。
- PHP 5.x:
php://input总是可用(除非启用了enable_post_data_reading = Off) - PHP 7.0+:若请求头
Content-Type匹配表单类型,PHP 会优先解析进$_POST,并清空php://input - 检测方法:先看
$_POST是否非空;为空时再读php://input,且务必检查$_SERVER['CONTENT_TYPE']是否符合预期
版本差异最麻烦的地方不在“能不能取到”,而在“取到的内容是否可信”。尤其当系统横跨 PHP 5.6 → 8.2 升级时,urldecode() 的调用时机、filter_input() 的常量有效性、甚至 mb_detect_encoding() 对空字符串的返回值都会变——这些细节不会报错,但会让参数悄悄变形。
