为什么 REGISTER_GLOBALS 是 PHP 中的安全隐患？

REGISTER_GLOBALS：PHP 安全隐患

REGISTER_GLOBALS 曾经是 PHP 中一个有争议的功能，引发了广泛的谴责。它臭名昭著的声誉源于它所带来的固有安全风险。

那么，REGISTER_GLOBALS 有什么问题？

REGISTER_GLOBALS 会自动为所有 GET 和 POST 请求参数创建全局变量，使它们可以在脚本中的任何位置访问。这构成了重大威胁，因为访问未声明的变量在 PHP 中只是警告，而不是错误。

考虑以下假设代码：

<code class="php">// $debug = true;
if ($debug) {
    echo "query: $query\n";
}</code>

在未启用 REGISTER_GLOBALS 的情况下，访问未声明的 $query变量会导致警告或错误，提示开发人员显式定义变量。然而，在 REGISTER_GLOBALS 开启的情况下，未声明的 $query 仍然可以作为全局变量使用，从而为攻击者利用此未声明的参数创造了潜在的途径。

虽然本质上并不坏，但 REGISTER_GLOBALS 可能会加剧常见的安全缺陷许多 PHP 脚本由于其质量常常存在缺陷。因此，通常建议禁用 REGISTER_GLOBALS 以增强安全性。

以上是为什么 REGISTER_GLOBALS 是 PHP 中的安全隐患？的详细内容。更多信息请关注PHP中文网其他相关文章！