关于 Register Globals开启后会遇到的有关问题-php教程-PHP中文网

首页

后端开发

php教程

关于 Register Globals开启后会遇到的有关问题

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 10:06 AM

authphp

关于 Register Globals开启后会遇到的问题
我看了php手册上面说全局变量是建议关闭的，即把regester_globales设置成off
而且手册还举了一个例子，说明如果不关掉会有什么问题，例子如下，但是其中后面的解释部分
的GET auth.php?authorized=1 不知道是什么意思？？？希望大家帮帮我

错误使用 register_globals = on 的例子

// 当用户合法的时候，赋值 $authorized = true
if (authenticated_user()) {
$authorized = true;
}

// 由于并没有事先把 $authorized 初始化为 false，
// 当 register_globals 打开时，可能通过GET auth.php?authorized=1 来定义该变量值
// 所以任何人都可以绕过身份验证
if ($authorized) {
include "/highly/sensitive/data.php";
}
?>
当 register_globals = on 的时候，上面的代码就会有危险了。如果是 off，$authorized 就不能通过如 URL 请求等方式来改变，这样就好多了，尽管初始化变量是一个良好的编程习惯。比如说，如果在上面的代码执行之前加入 $authorized = false 的话，无论 register_globals 是 on 还是 off 都可以，因为用户状态被初始化为未经认证。

------解决方案--------------------
当 regester_globales 开启时在auth.php?authorized=1 文件中取authorized 就不一定要用GET
$authorized 就等于 $_GET['authorized']
我通过url就能定义你的变量这还安全吗？
http://bbs.php100.com/read-htm-tid-17163-page-1.html
http://www.laruence.com/2009/07/13/976.html
这是另一个例子
------解决方案--------------------
这个注释说的比较清楚了

// 由于并没有事先把 $authorized 初始化为 false，
// 当 register_globals 打开时，可能通过GET auth.php?authorized=1 来定义该变量值
// 所以任何人都可以绕过身份验证
if ($authorized) {
include "/highly/sensitive/data.php";
}

如果你打开了那个设置,并且通过判断变量 authorized是否为true 的时候为允许那么只需要在url 构造 authorized=1 即可得到 authorized 为true 的权限。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

可以在PHP会话中存储哪些数据？May 02, 2025 am 12:17 AM

phpsessionscanStorestrings，数字，数组和原始物。

您如何开始PHP会话？May 02, 2025 am 12:16 AM

tostartaphpsession，usesesses_start（）attheScript'Sbeginning.1）placeitbeforeanyOutputtosetThesessionCookie.2）useSessionsforuserDatalikeloginstatusorshoppingcarts.3）regenerateSessiveIdStopreventFentfixationAttacks.s.4）考虑使用AttActAcks.s.s.4）

什么是会话再生，如何提高安全性？May 02, 2025 am 12:15 AM

会话再生是指在用户进行敏感操作时生成新会话ID并使旧ID失效，以防会话固定攻击。实现步骤包括：1.检测敏感操作，2.生成新会话ID，3.销毁旧会话ID，4.更新用户端会话信息。

使用PHP会话时有哪些性能考虑？May 02, 2025 am 12:11 AM

PHP会话对应用性能有显着影响。优化方法包括：1.使用数据库存储会话数据，提升响应速度；2.减少会话数据使用，只存储必要信息；3.采用非阻塞会话处理器，提高并发能力；4.调整会话过期时间，平衡用户体验和服务器负担；5.使用持久会话，减少数据读写次数。

PHP会话与Cookie有何不同？May 02, 2025 am 12:03 AM

PHPsessionsareserver-side,whilecookiesareclient-side.1)Sessionsstoredataontheserver,aremoresecure,andhandlelargerdata.2)Cookiesstoredataontheclient,arelesssecure,andlimitedinsize.Usesessionsforsensitivedataandcookiesfornon-sensitive,client-sidedata.

PHP如何识别用户的会话？May 01, 2025 am 12:23 AM

phpientifiesauser'ssessionusessessionSessionCookiesAndSessionIds.1）whiwSession_start（）被称为，phpgeneratesainiquesesesessionIdStoredInacookInAcookInamedInAcienamedphpsessidontheuser'sbrowser'sbrowser.2）thisIdAllowSphptptpptpptpptpptortoreTessessionDataAfromtheserverMtheserver。

确保PHP会议的一些最佳实践是什么？May 01, 2025 am 12:22 AM

PHP会话的安全可以通过以下措施实现：1.使用session_regenerate_id()在用户登录或重要操作时重新生成会话ID。2.通过HTTPS协议加密传输会话ID。3.使用session_save_path()指定安全目录存储会话数据，并正确设置权限。

PHP会话文件默认存储在哪里？May 01, 2025 am 12:15 AM

phpsessionFilesArestoredIntheDirectorySpecifiedBysession.save_path，通常是/tmponunix-likesystemsorc：\ windows \ windows \ temponwindows.tocustomizethis：tocustomizEthis：1）useession_save_save_save_path_path（）

See all articles