本特性已自 PHP 5.3.0 起廢棄并將自 PHP 5.4.0 起移除。

可能 PHP 中最具爭(zhēng)議的變化就是從 PHP 4.2.0 版開(kāi)始配置文件中 PHP 指令 register_globals 的默認(rèn)值從 on 改為 off 了。對(duì)此選項(xiàng)的依賴是如此普遍以至于很多人根本不知道它的存在而以為 PHP 本來(lái)就是這么工作的。本節(jié)會(huì)解釋用這個(gè)指令如何寫出不安全的代碼，但要知道這個(gè)指令本身沒(méi)有不安全的地方，誤用才會(huì)。

當(dāng) register_globals 打開(kāi)以后，各種變量都被注入代碼，例如來(lái)自 HTML 表單的請(qǐng)求變量。再加上 PHP 在使用變量之前是無(wú)需進(jìn)行初始化的，這就使得更容易寫出不安全的代碼。這是個(gè)很艱難的抉擇，但 PHP 社區(qū)還是決定默認(rèn)關(guān)閉此選項(xiàng)。當(dāng)打開(kāi)時(shí)，人們使用變量時(shí)確實(shí)不知道變量是哪里來(lái)的，只能想當(dāng)然。但是 register_globals 的關(guān)閉改變了這種代碼內(nèi)部變量和客戶端發(fā)送的變量混雜在一起的糟糕情況。下面舉一個(gè)錯(cuò)誤使用 register_globals 的例子：

Example #1 錯(cuò)誤使用 register_globals = on 的例子

<?php // 當(dāng)用戶合法的時(shí)候，賦值 $authorized = true if (authenticated_user()) {$authorized = true; } // 由于并沒(méi)有事先把 $authorized 初始化為 false， // 當(dāng) register_globals 打開(kāi)時(shí)，可能通過(guò)GET auth.php?authorized=1 來(lái)定義該變量值 // 所以任何人都可以繞過(guò)身份驗(yàn)證 if ($authorized) {include '/highly/sensitive/data.php'; }?>

當(dāng) register_globals = on 的時(shí)候，上面的代碼就會(huì)有危險(xiǎn)了。如果是 off，$authorized 就不能通過(guò)如 URL 請(qǐng)求等方式來(lái)改變，這樣就好多了，盡管初始化變量是一個(gè)良好的編程習(xí)慣。比如說(shuō)，如果在上面的代碼執(zhí)行之前加入 $authorized = false 的話，無(wú)論 register_globals 是 on 還是 off 都可以，因?yàn)橛脩魻顟B(tài)被初始化為未經(jīng)認(rèn)證。

另一個(gè)例子是關(guān)于會(huì)話的。當(dāng) register_globals = on 的時(shí)候，$username 也可以用在下面的代碼中，但要意識(shí)到 $username 也可能會(huì)從其它途徑進(jìn)來(lái)，比如說(shuō)通過(guò) URL 的 GET。

Example #2 使用會(huì)話時(shí)同時(shí)兼容 register_globals on 和 off 的例子

<?php // 我們不知道 $username 的來(lái)源，但很清楚 $_SESSION 是來(lái)源于會(huì)話數(shù)據(jù) if (isset($_SESSION[’username’])) {echo 'Hello <b>{$_SESSION[’username’]}</b>'; } else {echo 'Hello <b>Guest</b><br />';echo 'Would you like to login?'; }?>

采取相應(yīng)的預(yù)防措施以便在偽造變量輸入的時(shí)候給予警告是完全有可能的。如果事先確切知道變量是哪里來(lái)的，就可以檢查所提交的數(shù)據(jù)是否是從不正當(dāng)?shù)谋韱翁峤欢鴣?lái)。不過(guò)這不能保證變量未被偽造，這需要攻擊者去猜測(cè)應(yīng)該怎樣去偽造。如果不在乎請(qǐng)求數(shù)據(jù)來(lái)源的話，可以使用 $_REQUEST 數(shù)組，它包括了 GET、POST 和 COOKIE 的所有數(shù)據(jù)。

Example #3 探測(cè)有害變量

<?php if (isset($_COOKIE[’MAGIC_COOKIE’])) {// MAGIC_COOKIE 來(lái)自 cookie// 這樣做是確保是來(lái)自 cookie 的數(shù)據(jù) } elseif (isset($_GET[’MAGIC_COOKIE’]) || isset($_POST[’MAGIC_COOKIE’])) {mail('admin@example.com', 'Possible breakin attempt', $_SERVER[’REMOTE_ADDR’]);echo 'Security violation, admin has been alerted.';exit; } else {// 這一次請(qǐng)求中并沒(méi)有設(shè)置 MAGIC_COOKIE 變量 }?>

當(dāng)然，單純地關(guān)閉 register_globals 并不代表所有的代碼都安全了。對(duì)于每一段提交上來(lái)的數(shù)據(jù)，都要對(duì)其進(jìn)行具體的檢查。永遠(yuǎn)要驗(yàn)證用戶數(shù)據(jù)和對(duì)變量進(jìn)行初始化！把error_reporting() 設(shè)為 E_NOTICE 級(jí)別可以檢查未初始化的變量。