PHP入门门槛低在于无需编译、变量无类型声明、echo即输出、$_GET/$_POST直用、php -S一键启服务;但“能跑”不等于“能用”,新手易陷隐性陷阱:$_REQUEST取参风险、松散比较漏洞、伪造文件类型上传、明文或弱哈希存密。
PHP 入门门槛确实低,但“容易”只体现在能快速写出可运行的代码,不等于能写出安全、可维护、符合现代规范的代码。
为什么新手觉得 PHP 上手快
因为 PHP 天然对初学者友好:不需要编译、变量不用声明类型、echo 一行就能输出、$_GET 和 $_POST 直接可用。本地搭个 php -S 就能跑起一个 Web 服务,比如:
php -S localhost:8000
配上一个 index.php,刷新浏览器就能看到结果。这种“写即所得”的反馈非常直接。
常见做法包括:
立即学习“PHP免费学习笔记(深入)”;
- 直接在 HTML 里混写
,不报错也不需要理解作用域 - 用
mysql_connect()(已废弃)连数据库,教程没更新就照抄,运行起来就以为“学会了” - 把用户输入直接拼进 SQL 查询,比如
"SELECT * FROM user WHERE name = '" . $_GET['name'] . "'",暂时没出问题就忽略风险
新手最容易栽在哪儿
不是语法,而是隐性陷阱——这些地方不会报错,但上线后立刻暴露:
-
$_REQUEST默认包含$_GET、$_POST、$_COOKIE,顺序可被配置(request_order),靠它取参容易被绕过或覆盖 -
==松散比较导致逻辑漏洞,比如"000" == 0为true,用在权限判断里可能越权 - 文件上传时只检查
$_FILES['file']['type'],这个字段由浏览器提供,完全不可信 - 用
md5()或sha1()存密码,甚至明文存——PHP 7.4+ 已内置password_hash()和password_verify(),但很多入门教程还在教过时方案
从“能跑”到“能用”,要补哪几块
别急着学框架,先稳住底层认知:
- 区分
===和==,所有涉及用户输入、状态判断的地方默认用严格比较 - 所有外部输入(
$_GET、$_POST、$_SERVER等)必须过滤或转义:filter_input()比直接访问$_GET更安全;输出到 HTML 用htmlspecialchars(),拼 SQL 用PDO::prepare() - 会看错误信息:
Notice: Undefined index不是警告,是逻辑缺陷;Warning: Cannot modify header information说明已有输出(空格、BOM、echo),得查输出源头 - 知道
error_reporting(E_ALL)和display_errors = Off在开发/生产环境的不同配置方式
真正卡住人的从来不是 foreach 怎么写,而是不知道什么时候该用 array_filter() 而不是手写循环,或者搞不清 require_once 和 include 在加载失败时的行为差异。这些细节不练不查文档,光看教程永远模糊。