Register_globals 在 PHP 安全中是朋友还是敌人？

揭开 PHP 中 Register_globals 的谜团

Register_globals 是一个曾经笼罩在神秘之中的 PHP 设置，它对脚本功能有着深远的影响。本文揭示其内部工作原理并探讨相关概念。

什么是 Register_globals？

register_globals 指令将 $_REQUEST 超全局数组的内容无缝集成到脚本的全局数组中范围。因此，输入字段在脚本中优雅地表现为预定义变量。

例如，包含用户名字段的表单提交将 $username 变量赋予脚本。然而，这种便利是有代价的：register_globals 会引发安全和编码噩梦。

说明 Register_globals 的陷阱

考虑以下代码：

if (user_is_admin($user)) {
    $authorized = true;
}

if ($authorized) {
    // Grant unbridled power!
}

启用register_globals后，恶意用户可以利用URL漏洞。只需将“?authorized=1”附加到脚本的 URL 就会授予他们非法访问权限。

区分 Register_globals 和 Global 关键字

与 register_globals 相比，global 关键字操作明显地。它允许在本地范围内访问其他地方声明的特定变量。

例如：

$foo = 'bar';

baz();

function baz() {
    echo $foo; // Triggers an error: undefined variable
}

buzz();

function buzz() {
    global $foo; // Grants access to $foo within this scope

    echo $foo; // Outputs "bar"
}

结论

虽然register_globals可以加快开发速度，其安全影响远远超过任何感知到的好处。了解其功能并采用良好的编码实践对于确​​保 PHP 应用程序的健壮、安全至关重要。相反，global关键字提供了一种有针对性的、受控的方法来在指定范围内操作全局变量。

以上是Register_globals 在 PHP 安全中是朋友还是敌人？的详细内容。更多信息请关注PHP中文网其他相关文章！