REGISTER_GLOBALS가 PHP의 보안 위험인 이유는 무엇입니까?

REGISTER_GLOBALS: PHP 보안 위험

REGISTER_GLOBALS는 한때 PHP에서 논란의 여지가 있는 기능이었으며 광범위한 비난을 불러일으켰습니다. 악명 높은 평판은 고유한 보안 위험에서 비롯됩니다.

REGISTER_GLOBALS의 문제점은 무엇입니까?

REGISTER_GLOBALS는 모든 GET 및 POST 요청 매개변수에 대한 전역 변수를 자동으로 생성합니다. , 스크립트의 어느 곳에서나 액세스할 수 있도록 합니다. 선언되지 않은 변수에 액세스하는 것은 PHP에서 오류가 아닌 단지 경고일 뿐이므로 심각한 위협이 됩니다.

다음 가상 코드를 고려해보세요.

<code class="php">// $debug = true;
if ($debug) {
    echo "query: $query\n";
}</code>

REGISTER_GLOBALS를 활성화하지 않고 선언되지 않은 $query에 액세스하는 경우 변수를 사용하면 경고나 오류가 발생하여 개발자에게 변수를 명시적으로 정의하라는 메시지가 표시됩니다. 그러나 REGISTER_GLOBALS를 켜면 선언되지 않은 $query를 전역 변수로 계속 사용할 수 있으므로 공격자가 이 선언되지 않은 매개 변수를 악용할 수 있는 잠재적인 경로가 생성됩니다.

본질적으로 나쁘지는 않지만 REGISTER_GLOBALS는 널리 퍼져 있는 보안 결함을 악화시킬 수 있습니다. 종종 품질이 좋지 않기 때문에 많은 PHP 스크립트가 사용됩니다. 따라서 보안 강화를 위해 일반적으로 REGISTER_GLOBALS를 비활성화하는 것이 좋습니다.

위 내용은 REGISTER_GLOBALS가 PHP의 보안 위험인 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!