PHP安全之register_globals的on和off的区别
一、register_globals=Off和register_globals=On的区别
register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数.
register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。
sub::',$sub; echo'
GET::'; print_r($_GET); ?>
当register_globals=On的时候,程序运行提交输出结果为:
username::alex
sub::sub
array([username]=>alex[sub]=>sub)
当register_globals=Off的时候,程序运行提交输出结果为:
username::
sub::
array([username]=>alex[sub]=>sub)
通过测试结果,显而易见:register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它。
二、为什么推荐register_globals=Off?
1.PHP4.2.0版开始配置文件中register_globals的默认值从on改为off了,虽然你可以设置它为On,但是当你无法控制服务器的时候,你的代码的兼容性就成为一个大问题,所以,你最好从现在就开始用Off的风格开始编程。
2.当register_globals打开以后,各种变量都被注入代码,例如来自HTML表单的请求变量。再加上PHP在使用变量之前是无需进行初始化的,这就使得更容易写出不安全的代码。当打开时,人们使用变量时确实不知道变量是哪里来的,只能想当然。但是register_globals的关闭改变了这种代码内部变量和客户端发送的变量混杂在一起的糟糕情况。例子来源手册
当register_globals=on的时候,上面的代码就会有危险了。如果是off,$authorized就不能通过如URL请求等方式来改变,这样就好多了,尽管初始化变量是一个良好的编程习惯。比如说,如果在上面的代码执行之前加入$authorized=false的话,无论register_globals是on还是off都可以,因为用户状态被初始化为未经认证。
三、如果需要在一台关闭了register_globals的共享主机上运行一些旧式程序而该程序需要此选项打开时怎么办?
本例模拟register_globalsOn。如果改变了配置文件中的variables_order选项,则考虑对$superglobals作出相应的改动。
四、如果需要在一些打开了register_globals选项的主机上但想消除安全隐患,该怎么办?
本例模拟register_globalsOff。要记住此代码应在脚本最开头的地方调用。如果使用了会话机制,则在session_start()之后调用。
$v){ if(!in_array($k,$noUnset)&&isset($GLOBALS[$k])){ unset($GLOBALS[$k]); } } } unregister_GLOBALS(); ?>
到此这篇关于PHP安全之register_globals的on和off的区别的文章就介绍到这了,更多相关PHP安全register_globals内容请搜索毛票票以前的文章或继续浏览下面的相关文章希望大家以后多多支持毛票票!
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。