為什麼 REGISTER_GLOBALS 是 PHP 中的安全隱憂？

REGISTER_GLOBALS：PHP 安全隱患

REGISTER_GLOBALS 曾經是 PHP 中一個有爭議的功能，引發了廣泛的譴責。它臭名昭著的聲譽源自於它所帶來的固有安全風險。

那麼，REGISTER_GLOBALS 有什麼問題？

REGISTER_GLOBALS 會自動為所有 GET 和 POST 請求參數建立全域變量，使它們可以在腳本中的任何位置存取。這構成了重大威脅，因為存取未聲明的變數在 PHP 中只是警告，而不是錯誤。

考慮以下假設代碼：

<code class="php">// $debug = true;
if ($debug) {
    echo "query: $query\n";
}</code>

在未啟用 REGISTER_GLOBALS 的情況下，存取未聲明的 $query變數會導致警告或錯誤，提示開發人員明確定義變數。然而，在 REGISTER_GLOBALS 開啟的情況下，未聲明的 $query 仍然可以作為全局變數使用，從而為攻擊者利用此未聲明的參數創造了潛在的途徑。

雖然本質上並不壞，但 REGISTER_GLOBALS 可能會加劇常見的安全缺陷許多 PHP 腳本由於其品質常常存在缺陷。因此，通常建議停用 REGISTER_GLOBALS 以增強安全性。

以上是為什麼 REGISTER_GLOBALS 是 PHP 中的安全隱憂？的詳細內容。更多資訊請關注PHP中文網其他相關文章！