分享下PHP register_globals 值為on與off的理解

2020-03-22 20:29:20

字體：大中小

來源：轉載

供稿：網友

register_globals的值可以設置為：On或者Off，我們舉一段代碼來分別描述它們的不同。代碼:復制代碼代碼如下:
form name="frmTest" id="frmTest" action="URL"
input type="text" name="user_name" id="user_name"
input type="password" name="user_pass" id="user_pass"
input type="submit" html' target='_blank'>value="login"
/form
當register_globals=Off的時候，下一個程序接收的時候應該用$_GET['user_name']和$_GET['user_pass']來接受傳遞過來的值。（注：當 form 的method屬性為post的時候應該用$_POST['user_name']和$_POST['user_pass']）當register_globals=On的時候，下一個程序可以直接使用$user_name和$user_pass來接受值。顧名思義，register_globals的意思就是注冊為全局變量，所以當On的時候，傳遞過來的值會被直接的注冊為全局變量直接使用，而Off的時候，我們需要到特定的數組里去得到它。所以，碰到上邊那些無法得到值的問題的朋友應該首先檢查一下你的register_globals的設置和你獲取值的方法是否匹配。（查看可以用phpinfo()函數或者直接查看php.ini）下面來看看這里有什么錯誤？看看下面的這段PHP腳本，它用來在輸入的用戶名及口令正確時授權訪問一個Web頁面：復制代碼代碼如下:
?php
// 檢查用戶名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?
?php if (!$authorized): ?
!-- 未授權的用戶將在這里給予提示 --
p Please enter your username and password: /p
form action=" ?=$PHP_SELF? " method="POST"
p Username: input type="text" name="username" / br /
Password: input type="password" name="password" / br /
input type="submit" / /p
/form
?php else: ?
!-- 有安全要求的HTML內容 --
?php endif; ?
上面的代碼中存在的問題是你可以很容易地獲得訪問的權力，而不需要提供正確的用戶名和口令。只在要你的瀏覽器的地址欄的最后添加?authorized=1。因為PHP會自動地為每一個提交的值創建一個變量 -- 不論是來自動一個提交的表單、URL查詢字符串還是一個cookie -- 這會將$authorized設置為1，這樣一個未授權的用戶也可以突破安全限制。PHP教程

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。

上一篇：php工廠模式是什么

下一篇：PHP如何將整數數字轉換為羅馬數字？（代碼示例