了解 PHP 中的 Register_Globals 和 Global 关键字
使用 Web 应用程序时,了解 register_globals 和 PHP 中的 global 关键字的概念非常重要PHP。
什么是Register_Globals?
register_globals 指令自动将 $_REQUEST 数组的元素注册为变量。这意味着通过表单(通过 POST 或 GET)提交的任何数据都可以作为带有相应输入字段名称的 PHP 变量立即访问。
虽然此功能最初看起来很方便,但它将应用程序暴露给安全漏洞。攻击者可以操纵 URL 查询字符串或提交的表单数据来设置任意变量,并可能获得未经授权的访问。因此,出于安全原因,强烈建议禁用 register_globals。
示例:
考虑登录表单允许用户提交用户名和密码的场景。启用 register_globals 后,攻击者可以将以下内容附加到 URL:
?username=admin&password=secret
这将自动在 PHP 脚本中设置 $username 和 $password 变量,从而允许攻击者绕过身份验证过程。
什么是全局关键字?
全局关键字有不同的用途,与注册全局变量。它允许在函数内部访问或修改函数外部定义的变量。
示例:
$foo = 'bar';
function baz() {
echo $foo; // PHP generates a warning as $foo is undefined within this scope
}
function buzz() {
global $foo; // Enables access to the global variable $foo
echo $foo; // Prints 'bar' to the screen
}以上是为什么 PHP 中的 Register_Globals 是危险的?的详细内容。更多信息请关注PHP中文网其他相关文章!
