一、register_globals=Off和register_globals=On的區(qū)別
register_globals是php.ini里的一個配置,這個配置影響到php如何接收傳遞過來的參數(shù).
register_globals的值可以設(shè)置為:On或者Off,我們舉一段代碼來分別描述它們的不同。
form action='' method='get'>
input type='text' name='username' value='alex' >
input type='submit' name='sub' value='sub'>
/form>
?php
echo 'username::',$username;
echo 'br>sub::',$sub;
echo 'br>GET::';
print_r($_GET);
?>
當(dāng)register_globals=On的時候,程序運行提交輸出結(jié)果為:
username::alex
sub::sub
array ( [username] => alex [sub] => sub )
當(dāng)register_globals=Off的時候,程序運行提交輸出結(jié)果為:
username::
sub::
array ( [username] => alex [sub] => sub )
通過測試結(jié)果,顯而易見:register_globals的意思就是注冊為全局變量,所以當(dāng)On的時候,傳遞過來的值會被直接的注冊為全局變量直接使用,而Off的時候,我們需要到特定的數(shù)組里去得到它。
二、為什么推薦register_globals=Off?
1.PHP4.2.0版開始配置文件中register_globals的默認值從on改為off了,雖然你可以設(shè)置它為On,但是當(dāng)你無法控制服務(wù)器的時候,你的代碼的兼容性就成為一個大問題,所以,你最好從現(xiàn)在就開始用Off的風(fēng)格開始編程。
2.當(dāng)register_globals打開以后,各種變量都被注入代碼,例如來自HTML表單的請求變量。再加上PHP在使用變量之前是無需進行初始化的,這就使得更容易寫出不安全的代碼。當(dāng)打開時,人們使用變量時確實不知道變量是哪里來的,只能想當(dāng)然。但是register_globals的關(guān)閉改變了這種代碼內(nèi)部變量和客戶端發(fā)送的變量混雜在一起的糟糕情況。例子來源手冊
?php
// 當(dāng)用戶合法的時候,賦值
$authorized = true
if (authenticated_user()) {
$authorized=true;
}
// 由于并沒有事先把 $authorized 初始化為 false,
// 當(dāng) register_globals 打開時,可能通過GET auth.php?authorized=1 來定義該變量值
// 所以任何人都可以繞過身份驗證
if ($authorized) {
include"/highly/sensitive/data.php";
}
?>
當(dāng) register_globals = on 的時候,上面的代碼就會有危險了。如果是 off,$authorized 就不能通過如 URL 請求等方式來改變,這樣就好多了,盡管初始化變量是一個良好的編程習(xí)慣。比如說,如果在上面的代碼執(zhí)行之前加入 $authorized = false 的話,無論 register_globals 是 on 還是 off 都可以,因為用戶狀態(tài)被初始化為未經(jīng)認證。
三、如果需要在一臺關(guān)閉了 register_globals 的共享主機上運行一些舊式程序而該程序需要此選項打開時怎么辦?
本例模擬 register_globals On。如果改變了配置文件中的 variables_order 選項,則考慮對 $superglobals 作出相應(yīng)的改動。
?php// Emulate register_globals on
if (!ini_get('register_globals')) {
$superglobals= array($_SERVER,$_ENV,$_FILES,$_COOKIE,$_POST,$_GET);
if (isset($_SESSION)) {
array_unshift($superglobals,$_SESSION);
}
foreach ($superglobals as $superglobal) {
extract($superglobal,EXTR_SKIP);
}
}
?>
四、如果需要在一些打開了register_globals選項的主機上但想消除安全隱患,該怎么辦?
本例模擬 register_globals Off。要記住此代碼應(yīng)在腳本最開頭的地方調(diào)用。如果使用了會話機制,則在 session_start() 之后調(diào)用。
?php// Emulate register_globals off
functionun register_GLOBALS(){
if (!ini_get('register_globals')) {
return;
}
// Might want to change this perhaps to a nicer error
if (isset($_REQUEST['GLOBALS']) || isset($_FILES['GLOBALS'])) {
die('GLOBALS overwrite attempt detected');
}
// Variables that shouldn't be unset
$noUnset= array('GLOBALS','_GET','_POST','_COOKIE','_REQUEST','_SERVER','_ENV','_FILES');
$input=array_merge($_GET,$_POST,$_COOKIE,$_SERVER,$_ENV,$_FILES,isset($_SESSION) is_array($_SESSION) ?$_SESSION: array());
foreach ($input as $k=>$v) {
if (!in_array($k,$noUnset) isset($GLOBALS[$k])) {
unset($GLOBALS[$k]);
}
}
}
unregister_GLOBALS();
?>
到此這篇關(guān)于PHP安全之register_globals的on和off的區(qū)別的文章就介紹到這了,更多相關(guān)PHP安全 register_globals內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
您可能感興趣的文章:- PHP安全配置優(yōu)化詳解
- PHP網(wǎng)站常見安全漏洞,及相應(yīng)防范措施總結(jié)
- php解決安全問題的方法實例
- PHP開發(fā)api接口安全驗證的實例講解
- PHP網(wǎng)頁安全認證的實例詳解
- PHP實現(xiàn)根據(jù)密碼長度顯示安全條
- PHP更安全的密碼加密機制Bcrypt詳解
- 淺談php(codeigniter)安全性注意事項
- 如何讓PHP的代碼更安全