首页 > 后端开发 > php教程 > 为什么 REGISTER_GLOBALS 被认为是 PHP 中的安全噩梦?

为什么 REGISTER_GLOBALS 被认为是 PHP 中的安全噩梦?

Barbara Streisand
发布: 2024-10-26 05:36:02
原创
296 人浏览过

Why is REGISTER_GLOBALS Considered a Security Nightmare in PHP?

REGISTER_GLOBALS:为什么它被鄙视?

对于经常使用 PHP 的开发者来说,一提到 REGISTER_GLOBALS 就会引起一种本能的反应,就像遭遇了瘟疫一样。但为什么对这个特定的设置如此强烈的厌恶呢?

REGISTER_GLOBALS 的危险

REGISTER_GLOBALS 允许通过 GET 或 POST 传递的所有变量都可以作为脚本中的全局变量进行访问。这个看似无害的功能隐藏着一个隐藏的威胁。

访问 PHP 中未声明的变量只会触发警告,而不是错误。因此,这可能会滋生潜在的漏洞。

示例

考虑以下代码片段:

<code class="php"><?php
// $debug = true;
if ($debug) {
    echo "query: $query\n";
}
?></code>
登录后复制

如果 $ query 没有显式声明,上面的代码将输出名为“query”的 GET 或 POST 变量的值,不会出现错误。虽然这可能不会立即构成威胁,但不幸的是,制作不当的 PHP 代码很常见。

在这种情况下,REGISTER_GLOBALS 可能会引入意想不到的副作用和安全漏洞,否则这些副作用和安全漏洞很容易表现为错误。

结论

虽然 REGISTER_GLOBALS 本质上不是恶意的,但它已被证明是 PHP 代码库中安全和稳定性问题的一个重要原因。结果,它赢得了臭名昭著的声誉,开发者们一致同意将其视为贱民设定。

以上是为什么 REGISTER_GLOBALS 被认为是 PHP 中的安全噩梦?的详细内容。更多信息请关注PHP中文网其他相关文章!

来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板