PHP 的 register_globals 指令是否存在安全风险？

了解 PHP 中的 Register_Globals

PHP 的 register_globals 指令引发了有关其性质和功能的问题。让我们深入研究一下：

什么是 Register_Globals？

Register_globals 是一个配置设置，可自动从 $_REQUEST 数组中的元素创建全局变量。提交表单时，可以在 PHP 脚本中访问变量，其名称与输入字段的“name”属性相对应。

例如，启用 register_globals 且表单提交用户名字段时，表达式 ($username = == $_POST['username']) 将评估为 true。

安全影响

Register_globals 会带来重大的安全风险，因为它允许恶意用户在没有适当的情况下操纵变量验证。例如，通过将“?authorized=1”附加到 URL，攻击者可以绕过授权检查。

全局关键字区分

与 register_globals 不同，global 关键字允许在函数作用域之外声明的变量可以在函数作用域内访问。全局变量必须使用 global 关键字显式声明才能使用。

例如，以下代码使用全局 $foo 来访问在uzz()函数外部声明的变量：

$foo = 'bar';

baz();

function baz()
{
    echo $foo; // PHP warns about using an uninitialized variable
}

buzz();

function buzz()
{
    global $foo; // Enables use of $foo in this scope
    echo $foo; // Prints 'bar' to screen
}

以上是PHP 的 register_globals 指令是否存在安全风险？的详细内容。更多信息请关注PHP中文网其他相关文章！