3
好吧,我不記得這個細節,但某些服務器上就可以使用,而不是
是$ var$ _GET [「變種」]訪問URL中的變量,我知道這是不好的,但我不記得爲什麼它不好?
A
回答
8
我想你的意思是Register Globals。
您不應該使用它們,因爲您無法區分變量值的來源,因爲它們可能來自任何EGPCS變量源(環境,GET,POST,Cookie,服務器)。
所以,如果你有一個在$var,你不能,如果值是從說$_ENV['var'],$_GET['var'],$_POST['var'],$_COOKIE['var']或$_SERVER['var']。
2
如果您的服務器的register_globals在php.ini文件中設置爲1(或true),那麼可以使用它。
在某些情況下,默認情況下它已關閉,應用程序開始中斷,這就是爲什麼這是不好的做法。您可以看到php.ini變量列表here。
7
該功能被稱爲Register Globals,它允許人們向代碼中注入變量。例子見the documentation;這裏是一個:
<?php
// define $authorized = true only if user is authenticated
if (authenticated_user()) {
$authorized = true;
}
// Because we didn't first initialize $authorized as false, this might be
// defined through register_globals, like from GET auth.php?authorized=1
// So, anyone can be seen as authenticated!
if ($authorized) {
include "/highly/sensitive/data.php";
}
?>
+0
這不是原因。雖然使用未定義的變量也不是一個好的風格。但是,如果您使用'$ authorized = false;'來設置默認值,那麼您不會遇到這個問題。 – Gumbo 2009-09-21 22:15:51
+0
@Gumbo:PHP文檔將其列在其原因列表的頂部。 – RichieHindle 2009-09-21 22:20:26
+3
@Gumbo儘管這確實是重點 - 但你必須記住設置默認值,對於所有敏感的事情來說都是如此。如果沒有register_globals,風險會降低很多 - 忘記將其設置爲false並不能實現利用。 – ceejayoz 2009-09-21 22:41:01
1
這也很糟糕,因爲您可能會以PHP將範圍變量的方式混淆自己。如果你不小心,你可能會覆蓋數據。而且,使用$ _GET對於你正試圖完成的任務來說更加清晰。
1
0
設置被稱爲REGISTER_GLOBALS並在這裏討論:
+0
(如果您不知道/記住設置的名稱,則無法找到它) – 2009-09-21 22:14:15
0
如果你能做到這一點,那麼「register_globals的」已開啓。這很糟糕,因爲你不知道變量來自哪裏,它將變量與任何用戶可以通過URL注入的變量混合在一起。在這裏閱讀更多:http://www.php.net/manual/en/security.globals.php
1
這很糟糕,因爲如果你在使用它之前不仔細地初始化每個變量(PHP不會強迫你這麼做),人們可以很容易地讓你的代碼做很壞的事情請求簡單到/myapp/index.php?admin_privileges=1。
0
一旦你習慣了使用$ _POST,$ _GET等,你的代碼的目的將更容易閱讀,而且更容易維護。
0
註冊全局變量可以工作,但在未來版本的PHP中會變爲going to go away。更不用說它啓用它真的是錯誤的。
您可以使用extract()進行更受控制的行爲。它會將數組中的鍵(在本例中爲$ _GET)作爲變量提取到本地上下文中。你可以給它們一個通用的前綴,以免它們與你現有的變量相沖突。你可以預先過濾數組,以確保你只獲得預期的變量。從陣列到當前符號表
int extract($var_array [, $type = EXTR_OVERWRITE [, $prefix ]])導入變量。
相關問題
- 1. 如何在PHP中打印var名稱而不是var值?
- 2. 在ajax中恢復$ _GET var
- 3. PHP $ _GET ['string'+ $ var] - 這可能嗎?
- 4. 爲什麼info.php只有放在/ var/www/html而不是/ var/www /?
- 5. clean $ _GET var在ajax中使用
- 6. isset或空的_GET $ [VAR]
- 7. 的Javascript VAR在PHP
- 8. 這不是一個var而不是let?
- 9. 在Delphi中使用{。$ DEFINE VAR}而不是{$ DEFINE VAR}的目的是什麼
- 10. PHP:爲什麼使用!! $ var而不是(boolean)$ var進行類型轉換?
- 11. 爲什麼var x = 5工作而不是var n = a?
- 12. Nginx試圖登錄到/ var/logs而不是/ var/log?
- 13. 爲什麼人們使用Type * var而不是Type * var?
- 14. PHP變量像$ var ['$ var']
- 15. $ VAR = $ VAR - 1個PHP問題
- 16. 將Javascript var傳入PHP var
- 17. 在Windows CMD中擴展var var var
- 18. VAR是收藏,而不是項目
- 19. 在Python中找不到var var
- 20. 爲什麼Ruby爲「var = var + 1」而不是「var = var + 0」創建一個新對象?
- 21. var不在列表中而var在列表中有什麼不同?
- 22. 在Javascript中組裝var var
- 23. 「var&= expr」的行爲不像「var = var && expr」
- 24. ECHO%VAR%到文件(不是的%VAR%的價值,但文本 「%VAR%」)
- 25. 什麼是$ {VAR}和{$ VAR}
- 26. $$ VAR(在PHP)在javascript
- 27. php var isset,?data = menu
- 28. PHP htaccess而不是$ _GET
- 29. @var在php中的含義是什麼
- 30. 在PHP中,$ var [] []是什麼意思?
「因爲讓它休息應用程序」不是一個很好的理由。變量注入並且不能區分請求/環境變量的類型是兩個主要的變量。 – jnylen 2009-09-21 23:28:37