深入了解 register_globals
2018-04-09 11:51
435 查看
从
PHP4.2.0版本开始,php.ini中的设置选项 register_globals
默认值变成了
off。所以,最好从现在就开始用Off的风格开始编程!
register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。
代码:
<form name="frmTest" id="frmTest"
action="URL">
<input type="text" name="user_name"
id="user_name">
<input type="password" name="user_pass"
id="user_pass">
<input type="submit"
value="login">
</form>
当register_globals=Off的时候,下一个程序接收的时候应该用$_GET['user_name']和$_GET['user_pass']来接受传递过来的值。(注:当<form>的method属性为post的时候应该用$_POST['user_name']和$_POST
['user_pass'])
当register_globals=On的时候,下一个程序可以直接使用$user_name
和$user_pass来接受值。
顾名思义,register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它。所以,碰到上边那些无法得到值的问题的朋
友应该首先检查一下你的register_globals的设置和你获取值的方法是否匹配。(查看可以用phpinfo()函数或者直接查看php.ini)
下面来看看这里有什么错误?
看看下面的这段PHP脚本,它用来在输入的用户名及口令正确时授权访问一个Web页面:
<?php
// 检查用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未授权的用户将在这里给予提示
-->
<p>Please enter your username and
password:</p>
<form
action="<?=$PHP_SELF?>"
method="POST">
<p>Username: <input
type="text" name="username" /><br
/>
Password: <input type="password" name="password"
/><br />
<input type="submit"
/></p>
</form>
<?php else: ?>
<!-- 有安全要求的HTML内容
-->
<?php endif; ?>
上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量
-- 不论是来自动一
个提交的表单、URL查询字符串还是一个cookie --
这会将$authorized设置为1,这样一个未授权的用户也可以突破安全限制。
PHP4.2.0版本开始,php.ini中的设置选项 register_globals
默认值变成了
off。所以,最好从现在就开始用Off的风格开始编程!
register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。
代码:
<form name="frmTest" id="frmTest"
action="URL">
<input type="text" name="user_name"
id="user_name">
<input type="password" name="user_pass"
id="user_pass">
<input type="submit"
value="login">
</form>
当register_globals=Off的时候,下一个程序接收的时候应该用$_GET['user_name']和$_GET['user_pass']来接受传递过来的值。(注:当<form>的method属性为post的时候应该用$_POST['user_name']和$_POST
['user_pass'])
当register_globals=On的时候,下一个程序可以直接使用$user_name
和$user_pass来接受值。
顾名思义,register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它。所以,碰到上边那些无法得到值的问题的朋
友应该首先检查一下你的register_globals的设置和你获取值的方法是否匹配。(查看可以用phpinfo()函数或者直接查看php.ini)
下面来看看这里有什么错误?
看看下面的这段PHP脚本,它用来在输入的用户名及口令正确时授权访问一个Web页面:
<?php
// 检查用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未授权的用户将在这里给予提示
-->
<p>Please enter your username and
password:</p>
<form
action="<?=$PHP_SELF?>"
method="POST">
<p>Username: <input
type="text" name="username" /><br
/>
Password: <input type="password" name="password"
/><br />
<input type="submit"
/></p>
</form>
<?php else: ?>
<!-- 有安全要求的HTML内容
-->
<?php endif; ?>
上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量
-- 不论是来自动一
个提交的表单、URL查询字符串还是一个cookie --
这会将$authorized设置为1,这样一个未授权的用户也可以突破安全限制。
相关文章推荐
- 深入了解 register_globals
- 深入了解 register_globals
- 深入了解 register_globals (附register_globals=off 网站打不开的解决方法)
- 深入了解 register_globals
- 深入了解 register_globals (附register_globals=off 网站打不开的解决方法)
- 深入了解"地址对齐"!
- Head First HTML & CSS chapter 2 :深入了解超文本
- 深入了解Dynamic & DLR(一)
- 深入了解Dynamic & DLR(二)
- Global和$GLOBALS 数组的例子
- 深入探讨PHP mysql_fetch_arr…
- svg 和vml深入了解(路径path&shape)
- USB协议深入分析 设备描述符配置包…
- 数据库集群技术 你了解多少?
- 跟泉哥一起来了解Torque 3D 之1.1
- 深入理解 CSS 中的行高与基线
- Appcmd&Adsutil.vbs基本用法及深入了解
- 深入了解FMDB<二>
- 深入了解Dynamic & DLR
- 转:驯服&nbsp;Tiger:&nbsp;深入研究枚举类型