REGISTER_GLOBALS: угроза безопасности PHP

REGISTER_GLOBALS когда-то была спорной функцией PHP, вызвавшей широкое осуждение. Его печально известная репутация проистекает из присущих ему рисков безопасности.

Итак, в чем проблема с REGISTER_GLOBALS?

REGISTER_GLOBALS автоматически создает глобальные переменные для всех параметров запросов GET и POST. , что делает их доступными в любом месте сценария. Это представляет собой серьезную угрозу, поскольку доступ к необъявленным переменным в PHP является всего лишь предупреждением, а не ошибкой.

Рассмотрим следующий гипотетический код:

// $debug = true;
if ($debug) {
    echo "query: $query\n";
}

Без включенного REGISTER_GLOBALS доступ к необъявленной переменной $query приведет к предупреждению или ошибке, что побудит разработчиков явно определить эту переменную. Однако при включенном REGISTER_GLOBALS необъявленный $query по-прежнему будет доступен как глобальная переменная, создавая потенциальную возможность для злоумышленников использовать этот необъявленный параметр.

Хотя REGISTER_GLOBALS по своей сути не плох, он может усугубить недостатки безопасности, распространенные в многие PHP-скрипты из-за их зачастую низкого качества. Поэтому для повышения безопасности обычно рекомендуется отключить REGISTER_GLOBALS.