REGISTER_GLOBALS: एक PHP सुरक्षा खतरा

REGISTER_GLOBALS एक समय PHP में एक विवादास्पद सुविधा थी, जिसकी व्यापक निंदा हुई थी। इसकी बदनाम प्रतिष्ठा इसके अंतर्निहित सुरक्षा जोखिमों से उत्पन्न होती है। , जिससे उन्हें स्क्रिप्ट में कहीं भी पहुंच योग्य बनाया जा सके। यह एक महत्वपूर्ण खतरा है क्योंकि PHP में अघोषित वेरिएबल्स तक पहुंच केवल एक चेतावनी है, कोई त्रुटि नहीं।

निम्नलिखित काल्पनिक कोड पर विचार करें:

// $debug = true; अगर ($डीबग) { इको "क्वेरी: $क्वेरी\n"; }

REGISTER_GLOBALS सक्षम किए बिना, अघोषित $query वेरिएबल तक पहुंचने पर एक चेतावनी या त्रुटि होगी, जो डेवलपर्स को वेरिएबल को स्पष्ट रूप से परिभाषित करने के लिए प्रेरित करेगी। हालाँकि, REGISTER_GLOBALS चालू होने पर, अघोषित $query अभी भी एक वैश्विक चर के रूप में उपलब्ध होगी, जिससे हमलावरों के लिए इस अघोषित पैरामीटर का फायदा उठाने का एक संभावित अवसर तैयार होगा।

हालांकि स्वाभाविक रूप से बुरा नहीं है, REGISTER_GLOBALS प्रचलित सुरक्षा खामियों को बढ़ा सकता है कई PHP स्क्रिप्ट्स की गुणवत्ता में अक्सर कमी होती है। इस प्रकार, बेहतर सुरक्षा के लिए आम तौर पर REGISTER_GLOBALS को अक्षम करने की अनुशंसा की जाती है।