Board logo

标题: 关于register_globals设置的问题[ZT] [打印本页]
作者: 网普科技     时间: 2005-12-16 02:38 PM    标题: 关于register_globals设置的问题[ZT]

基于各种各样的理由,PHP 的设置需要依赖于 register_globals
参数打开,但是也成为安全的重要隐患,请看下面的一段代码:

<?php
if (authenticate_user()) {
$authenticated = true;
}
...
?>

远程用户可以简单的传递 'authenticated' 作为表单变量,即使
authenticate_user() 函数返回 false,$authenticated 还是会设置成 true。这是一个简单的例子,你或许会说,我的程序不会这样来写。
而实际上,在稍微复杂一些的应用里面,这个机制就会成为重大的漏洞。

因此,新版本的 PHP ,我们建议用户不要采用这个变量来控制应用,虽然我们没有打算要在不久的将来删除。

为了帮助用户建立 register_globals 设置为 off 的应用,增加了一些变量来代替旧的,下面是7 个新的数组:

$_GET - 包含了通过 GET 发送的表单变量
$_POST - 包含了通过 POST 发送的表单变量
$_COOKIE - 包含了 HTTP cookie 变量
$_SERVER - 包含服务器端变量 (例如:REMOTE_ADDR)
$_ENV - 包含环境变量
$_REQUEST - GET 变量,POST 变量和 Cookie 变量的混合,通过用户而来而不能信任的变量。
$_SESSION - 包含通过会话模块注册的 HTTP 变量

这些变量,在任何范围内,都自动设置为全局变量,可以在任何地方调用,而不需要加 global 关键字。
例如:

function example1()
{
print $_GET["name"]; // 没有必要写成:'global $_GET;'
}

另外一个值得一提的小窍门是在 $_SESSION 数组中增加一个记录能自动作为会话变量注册,就像你调用了
session_register() 函数。
作者: 网普科技     时间: 2005-12-16 02:50 PM
网普添加如下内容:

举例说
大多数用到register_globals的,是通过url来传递变量的值

例如:
http://www.netpu.com/test.php?myvar=123

对于register_globals为on时,代码可以是这样的

<?
    global $myvar;
    echo $myvar;
?>

对于register_globals为off时, 只需要更改成

<?
    echo $_GET["myvar"];
?>
就可以了.

第二种方式不依赖于register_globals的值,所以通用性以及可移植性更好。

目前市场上大多数商用或者免费程序,稍微成熟些的,都避免依赖register_globals。
所以对于大多数程序,比如PHPBB,DISCUZ等等都不受影响的。

如果一个程序依赖register_globals,说明编码上还不够成熟,不建议使用。

对于用户自己开发的程序,页面,只需做上述修改,即可实现通过url传递信息。
作者: 网普科技     时间: 2005-12-18 02:23 PM
补充说明:

PHP 设置项 register_globals 同样会对服务器端和环境变量产生影响。当 register_globals = off (从 PHP 4.2.0 开始其默认值为 off),变量 $DOCUMENT_ROOT 将不会存在,而只有 $_SERVER['DOCUMENT_ROOT']。如果 register_globals = on 则变量 $DOCUMENT_ROOT 和 $GLOBALS['DOCUMENT_ROOT'] 将同时存在。

建议在 register_globals = off 的情况下进行编码。

例子:
<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>
作者: ajivanet     时间: 2005-12-27 06:25 PM
CODE:  [Copy to clipboard]
if ( !ini_get('register_globals') )
{
    extract($_POST);
    extract($_GET);
    extract($_SERVER);
    extract($_FILES);
    extract($_ENV);
    extract($_COOKIE);
   
    if ( isset($_SESSION) )
    {
        extract($_SESSION);
    }
}
作者: ajivanet     时间: 2005-12-27 06:26 PM
在每个PHP前面加上就OK了
作者: ajivanet     时间: 2005-12-27 06:26 PM
不过仍然不安全
作者: 网普科技     时间: 2005-12-27 08:37 PM
用到什么取什么
这样最安全:)



欢迎光临 网普技术论坛 (http://bbs.netpu.net/) Powered by Discuz! 2.5