了解 PHP 中的 Register_Globals
PHP 的 register_globals 指令引发了有关其性质和功能的问题。让我们深入研究一下:
什么是 Register_Globals?
Register_globals 是一个配置设置,可自动从 $_REQUEST 数组中的元素创建全局变量。提交表单时,可以在 PHP 脚本中访问变量,其名称与输入字段的“name”属性相对应。
例如,启用 register_globals 且表单提交用户名字段时,表达式 ($username = == $_POST['username']) 将评估为 true。
安全影响
Register_globals 会带来重大的安全风险,因为它允许恶意用户在没有适当的情况下操纵变量验证。例如,通过将“?authorized=1”附加到 URL,攻击者可以绕过授权检查。
全局关键字区分
与 register_globals 不同,global 关键字允许在函数作用域之外声明的变量可以在函数作用域内访问。全局变量必须使用 global 关键字显式声明才能使用。
例如,以下代码使用全局 $foo 来访问在uzz()函数外部声明的变量:
$foo = 'bar';
baz();
function baz()
{
echo $foo; // PHP warns about using an uninitialized variable
}
buzz();
function buzz()
{
global $foo; // Enables use of $foo in this scope
echo $foo; // Prints 'bar' to screen
}以上是PHP 的 register_globals 指令是否存在安全风险?的详细内容。更多信息请关注PHP中文网其他相关文章!
