Dangers de REGISTER_GLOBALS

REGISTER_GLOBALS est un paramètre PHP qui permet à toutes les variables GET et POST d'être disponibles en tant que variables globales dans les scripts PHP. Cette fonctionnalité peut sembler pratique, mais son utilisation est fortement déconseillée en raison de failles de sécurité potentielles et de pratiques de codage.

Pourquoi REGISTER_GLOBALS est-il mauvais ?

Le principal problème avec REGISTER_GLOBALS réside dans son potentiel d’exploitation. Lorsque des variables GET ou POST sont accédées par inadvertance en tant que variables non déclarées (ce qui est autorisé en PHP), cela peut conduire à l'exécution de code malveillant. Ceci est particulièrement préoccupant puisque PHP est couramment utilisé pour le développement Web, où les entrées des utilisateurs peuvent ne pas être fiables.

Exemple de vulnérabilité

Considérez le code PHP suivant :

if ($debug) {
    echo "query: $query\n";
}

Avec REGISTER_GLOBALS activé, un attaquant pourrait facilement injecter une variable $query via une requête pour manipuler le comportement du script. Cela pourrait conduire à la divulgation d'informations sensibles, à un accès non autorisé aux fichiers ou même à l'exécution de code à distance.

Meilleures pratiques de codage

Il est crucial de noter que le code PHP doit être conçu pour éviter d'accéder à des variables non déclarées. Un code bien écrit déclarera et initialisera correctement toutes les variables et ne devrait pas s'appuyer sur REGISTER_GLOBALS pour plus de commodité.

Bien que REGISTER_GLOBALS puisse être utilisé pour des scripts rapides et sales, il doit généralement être évité dans le code de production. En désactivant REGISTER_GLOBALS et en adoptant des pratiques de codage propres, les développeurs peuvent considérablement améliorer la sécurité et la fiabilité de leurs applications PHP.