REGISTER_GLOBALS 的危險

REGISTER_GLOBALS 是一個 PHP 設定，它允許所有 GET 和 POST 變數在 PHP 腳本中用作全域變數。此功能可能看起來很方便，但由於潛在的安全漏洞和編碼實踐，強烈建議不要使用它。

為什麼 REGISTER_GLOBALS 不好？

REGISTER_GLOBALS 的主要問題在於其開發潛力。當 GET 或 POST 變數被無意中作為未宣告的變數存取時（PHP 中允許），可能會導致惡意程式碼執行。這尤其令人擔憂，因為 PHP 通常用於 Web 開發，其中使用者輸入可能不可信。

漏洞範例

考慮以下 PHP 程式碼：

if ($debug) {
    echo "query: $query\n";
}

啟用 REGISTER_GLOBALS 後，攻擊者可以輕鬆地透過要求注入 $query 變數來操縱腳本的行為。這可能會導致敏感資訊外洩、未經授權的文件訪問，甚至遠端程式碼執行。

編碼最佳實踐

值得注意的是，PHP 代碼應該經過工程設計以避免訪問未聲明的變數。編寫良好的程式碼將正確聲明和初始化所有變量，並且不應為了方便而依賴 REGISTER_GLOBALS。

雖然 REGISTER_GLOBALS 可用於快速且骯髒的腳本，但通常應在生產代碼中避免使用。透過停用 REGISTER_GLOBALS 並採用乾淨的編碼實踐，開發人員可以大大增強其 PHP 應用程式的安全性和可靠性。