REGISTER_GLOBALS 的危险

REGISTER_GLOBALS 是一个 PHP 设置，它允许所有 GET 和 POST 变量在 PHP 脚本中用作全局变量。此功能可能看起来很方便，但由于潜在的安全漏洞和编码实践，强烈建议不要使用它。

为什么 REGISTER_GLOBALS 不好？

REGISTER_GLOBALS 的主要问题在于其开发潜力。当 GET 或 POST 变量被无意中作为未声明的变量访问时（PHP 中允许），可能会导致恶意代码执行。这尤其令人担忧，因为 PHP 通常用于 Web 开发，其中用户输入可能不可信。

漏洞示例

考虑以下 PHP 代码：

if ($debug) {
    echo "query: $query\n";
}

启用 REGISTER_GLOBALS 后，攻击者可以轻松地通过请求注入 $query 变量来操纵脚本的行为。这可能会导致敏感信息泄露、未经授权的文件访问，甚至远程代码执行。

编码最佳实践

值得注意的是，PHP 代码应该经过工程设计以避免访问未声明的变量。编写良好的代码将正确声明和初始化所有变量，并且不应为了方便而依赖 REGISTER_GLOBALS。

虽然 REGISTER_GLOBALS 可用于快速且肮脏的脚本，但通常应在生产代码中避免使用。通过禁用 REGISTER_GLOBALS 并采用干净的编码实践，开发人员可以大大增强其 PHP 应用程序的安全性和可靠性。