Maison >développement back-end >tutoriel php >Register_globals est-il un ami ou un ennemi dans la sécurité PHP ?
Dévoilement de l'énigme de Register_globals en PHP
Register_globals, un paramètre PHP autrefois entouré de mystère, a un impact profond sur la fonctionnalité des scripts. Cet article dévoile son fonctionnement interne et explore les concepts associés.
Que sont Register_globals ?
La directive register_globals intègre de manière transparente le contenu du tableau superglobal $_REQUEST dans le tableau global du script. portée. Par conséquent, les champs de saisie se manifestent gracieusement sous forme de variables prédéfinies dans le script.
Par exemple, une soumission de formulaire contenant un champ de nom d'utilisateur confère la variable $username au script. Cette commodité a cependant un coût : Register_globals invite aux cauchemars en matière de sécurité et de codage.
Illustrer les pièges de Register_globals
Considérez le code suivant :
if (user_is_admin($user)) { $authorized = true; } if ($authorized) { // Grant unbridled power! }
Avec register_globals activé, un utilisateur malveillant pourrait exploiter la vulnérabilité de l'URL. Le simple fait d'ajouter "?authorized=1" à l'URL du script leur accorderait un accès illicite.
Distinguer Register_globals du mot-clé global
Contrairement à register_globals, le mot-clé global fonctionne distinctement. Il permet d'accéder à des variables spécifiques déclarées ailleurs dans une portée locale.
Par exemple :
$foo = 'bar'; baz(); function baz() { echo $foo; // Triggers an error: undefined variable } buzz(); function buzz() { global $foo; // Grants access to $foo within this scope echo $foo; // Outputs "bar" }
Conclusion
Alors que register_globals peut accélérer le développement , ses implications en matière de sécurité dépassent largement les avantages perçus. Comprendre ses fonctionnalités et adopter de bonnes pratiques de codage sont primordiaux pour garantir des applications PHP robustes et sécurisées. À l'inverse, le mot-clé global offre une approche ciblée et contrôlée de la manipulation des variables globales dans des portées spécifiées.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!