文档章节

php register_globals将接收参数转为全局变量

s
 shikamaru
发布于 02/22 10:25
字数 297
阅读 11
收藏 0
PHP

最近在看公司旧的系统的时候发现一个很奇怪的事情,很多页面用的变量找不到源头,没有定义也不是接收,意思是腾空出现的。

经排查,原来是php配置做的好事:register_globals = On。register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它,比如需要使用$_GET或者$_POST接收。

当register_globals = On的时候,程序运行提交输出结果为:

username::alex  
sub::sub  
array ([username] => alex [sub] => sub )   

当register_globals = Off的时候,程序运行提交输出结果为:

username::  
sub::  
array ([username] => alex [sub] => sub )  

那么问题来了,这样虽然方便,但是安全吗?

© 著作权归作者所有

共有 人打赏支持
s
粉丝 0
博文 5
码字总数 777
作品 0
广州
私信 提问
PHP代码审计笔记--变量覆盖漏洞

  变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。    经常导致变量覆盖漏洞场景有:$$,extract()函数,parsest...

bypass
2017/11/16
0
0
创建高安全性PHP网站的几个实用要点

大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的P...

王振威
2012/11/27
134
0
php register_globals

php.ini配置:register_globals 设置为 on的时候,form表单传递过来的参数会自动注册为全局变量 <input type="text" name="user" value="user"/> 提交表单过后全局变量里面自动注册一个$user......

T_star
2014/10/16
0
0
提高PHP网站安全性5个技巧

技巧1:使用合适的错误报告 一般在开发过程中,很多程序员总是忘了制作程序错误报告,这是极大的错误,因为恰当的错误报告不仅仅是最好的调试工具,也是极佳的安全漏洞检测工具,这能让你把应...

钟良
2016/06/02
7
0
提高PHP网站安全性的5个技巧

技巧1:使用合适的错误报告 一般在开发过程中,很多程序员总是忘了制作程序错误报告,这是极大的错误,因为恰当的错误报告不仅仅是最好的调试工具,也是极佳的安全漏洞检测工具,这能让你把应...

逸舟
2012/07/23
0
3

没有更多内容

加载失败,请刷新页面

加载更多

Android服务2 BindService

MainActivity { class MyService extends Service { public void onCreate() {} public IBinder onBind(Intent intent) { //return new Binder(); retutn new MyBinder(); } public boolean ......

Coding缘
29分钟前
0
0
所有和Java中代理有关的知识点都汇集于此,速进学干货。

对于每一个Java开发来说,代理这个词或多或少都会听说过。你可能听到过的有代理模式、动态代理、反向代理等。那么,到底什么是代理,这么多代理又有什么区别呢。本文就来简要分析一下。 代理...

Java填坑路
35分钟前
1
0
镜像即代码:基于Packer构建阿里云镜像

什么是Packer Packer是HashiCorp推出的一款工具,旨在提供简易的方式自动化构建镜像。通过Packer,你只需要在配置文件中指明镜像构建所需的基本信息及期望安装到镜像中的软件及配置,即可通过...

迷你芊宝宝
36分钟前
1
0
好程序员前端教程之JavaScript闭包和匿名函数的关系详解

好程序员前端教程之JavaScript闭包和匿名函数的关系详解 本文讲的是关于JavaScript闭包和匿名函数两者之间的关系,从匿名函数概念到立即执行函数,最后到闭包。下面一起来看看文章分析,希望...

好程序员IT
44分钟前
1
0
简单的file获取文本内容且, 修改文本内容(java8)

题主, 因入职新公司, 表设计混乱, 不得不手动写一个小脚本,获取所有字段后,重新写入至新表中; 思路 顺序如下 原sql 具体, 获取行 , 根据行开头的" ,"截取内容, 重新输入到txt, 中就可以了; 代...

尾生
54分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部