为什么 REGISTER_GLOBALS 被认为是 PHP 中的安全噩梦？

REGISTER_GLOBALS：为什么它被鄙视？

对于经常使用 PHP 的开发者来说，一提到 REGISTER_GLOBALS 就会引起一种本能的反应，就像遭遇了瘟疫一样。但为什么对这个特定的设置如此强烈的厌恶呢？

REGISTER_GLOBALS 的危险

REGISTER_GLOBALS 允许通过 GET 或 POST 传递的所有变量都可以作为脚本中的全局变量进行访问。这个看似无害的功能隐藏着一个隐藏的威胁。

访问 PHP 中未声明的变量只会触发警告，而不是错误。因此，这可能会滋生潜在的漏洞。

示例

考虑以下代码片段：

<code class="php"><?php
// $debug = true;
if ($debug) {
    echo "query: $query\n";
}
?></code>

如果 $ query 没有显式声明，上面的代码将输出名为“query”的 GET 或 POST 变量的值，不会出现错误。虽然这可能不会立即构成威胁，但不幸的是，制作不当的 PHP 代码很常见。

在这种情况下，REGISTER_GLOBALS 可能会引入意想不到的副作用和安全漏洞，否则这些副作用和安全漏洞很容易表现为错误。

结论

虽然 REGISTER_GLOBALS 本质上不是恶意的，但它已被证明是 PHP 代码库中安全和稳定性问题的一个重要原因。结果，它赢得了臭名昭著的声誉，开发者们一致同意将其视为贱民设定。

以上是为什么 REGISTER_GLOBALS 被认为是 PHP 中的安全噩梦？的详细内容。更多信息请关注PHP中文网其他相关文章！