REGISTER_GLOBALS의 위험

REGISTER_GLOBALS는 모든 GET 및 POST 변수를 PHP 스크립트 내에서 전역 변수로 사용할 수 있도록 하는 PHP 설정입니다. 이 기능은 편리해 보일 수 있지만 잠재적인 보안 취약성 및 코딩 관행으로 인해 사용을 권장하지 않습니다.

REGISTER_GLOBALS가 왜 나쁜가요?

REGISTER_GLOBALS의 주요 문제는 다음과 같습니다. 착취 가능성이 있습니다. GET 또는 POST 변수가 선언되지 않은 변수(PHP에서 허용됨)로 실수로 액세스되면 악성 코드가 실행될 수 있습니다. PHP는 일반적으로 사용자 입력을 신뢰할 수 없는 웹 개발에 사용되므로 이는 특히 우려됩니다.

취약점의 예

다음 PHP 코드를 고려하세요.

if ($debug) {
    echo "query: $query\n";
}

REGISTER_GLOBALS가 활성화되면 공격자는 스크립트 동작을 조작하기 위해 요청을 통해 $query 변수를 쉽게 삽입할 수 있습니다. 이로 인해 민감한 정보 공개, 무단 파일 액세스 또는 원격 코드 실행이 발생할 수 있습니다.

코딩 모범 사례

PHP 코드는 엔지니어링되어야 한다는 점에 유의하는 것이 중요합니다. 선언되지 않은 변수에 접근하는 것을 방지합니다. 잘 작성된 코드는 모든 변수를 적절하게 선언하고 초기화하며 편의를 위해 REGISTER_GLOBALS에 의존해서는 안 됩니다.

REGISTER_GLOBALS는 빠르고 지저분한 스크립트에 사용할 수 있지만 일반적으로 프로덕션 코드에서는 피해야 합니다. REGISTER_GLOBALS를 비활성화하고 깔끔한 코딩 방법을 채택함으로써 개발자는 PHP 애플리케이션의 보안과 안정성을 크게 향상시킬 수 있습니다.