zoukankan      html  css  js  c++  java
  • php里的$_REQUEST['GLOBALS']作用

    众所周知,当php.ini里面的register_globals=on时,各种变量都被注入代码,例如来自 HTML 表单的请求变量。再加上 PHP 在使用变量之前是无需进行初始化的。那么就有可能导致不安全,假如有人恶意发出这么一个get请求"http://yourdomain/unsafe.php?GLOBALS=",那么就会清除$GLOBALS变量的值而导致不安全。所以我们可以这样子写

    [php]
    if ((isset($_REQUEST['GLOBALS']) 
           OR isset($_FILES['GLOBALS'])) 
           AND ini_get('register_globals')) { 
            die(globals overwrite attempted.');
    }

    [/php]


    ========================

    register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数,如果你的问题是:为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?等等,那么你需要仔细的阅读以下的内容。 

    register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。 

    代码:

    <form name="frmTest" id="frmTest" action="URL"> 
    <input type="text" name="user_name" id="user_name"> 
    <input type="password" name="user_pass" id="user_pass"> 
    <input type="submit" value="login"> 
    </form> 



    当register_globals=Off的时候,下一个程序接收的时候应该用$_GET['user_name']和$_GET['user_pass']来接受传递过来的值。(注:当<form>的method属性为post的时候应该用$_POST['user_name']和$_POST['user_pass']) 

    当register_globals=On的时候,下一个程序可以直接使用$user_name和$user_pass来接受值。 

    顾名思义,register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它。所以,碰到上边那些无法得到值的问题的朋友应该首先检查一下你的register_globals的设置和你获取值的方法是否匹配。(查看可以用phpinfo()函数或者直接查看php.ini) 

    那我们为什么要使用Off呢?原因有2: 
    1、php以后的新版本默认都用Off,虽然你可以设置它为On,但是当你无法控制服务器的时候,你的代码的兼容性就成为一个大问题,所以,你最好从现在就开始用Off的风格开始编程 
    2、这里有两篇文章介绍为什么要Off而不用On 
    http://www.linuxforum.net/forum/gshowflat.php?Cat=&Board=php3&Number=292803&page=0&view=collapsed&sb=5&o=all&fpart= 
    http://www.php.net/manual/en/security.registerglobals.php 

    现在还有一个问题就是,以前用On风格写的大量脚本怎么办? 
    如果你以前的脚本规划得好,有个公共包含文件,比如config.inc.php一类的文件,在这个文件里加上以下的代码来模拟一下(这个代码不保证100%可以解决你的问题,因为我没有大量测试,但是我觉得效果不错)。另外,这个帖子里的解决方法也可以参考一下(http://www.chinaunix.net/forum/viewtopic.php?t=159284)。 

    代码:

    <?php 
    if ( !ini_get('register_globals') ) 

        extract($_POST); 
        extract($_GET); 
        extract($_SERVER); 
        extract($_FILES); 
        extract($_ENV); 
        extract($_COOKIE); 
        
        if ( isset($_SESSION) ) 
        { 
            extract($_SESSION); 
        } 

    ?> 

    register_globals = Off的情况不仅仅影响到如何获取从<form>、url传递过来的数据,也影响到session、cookie,对应的,得到session、cookie的方式应该为:$_SESSION[]、$_COOKIE。同时对于session的处理也有一些改变,比如,session_register()没有必要而且失效,具体的变化,请查看php manual里的Session handling functions

    $_REQUEST中间的内容实际上还是来源于$_GET $_POST $_COOKIE,缺点是无法判断变量到底来自于get post 还是cookie,对要求比较严格的场合不适用。

  • 相关阅读:
    BZOJ 3252: 攻略(思路题)
    BZOJ 2821: 作诗(Poetize)(分块)
    BZOJ 2597: [Wc2007]剪刀石头布(费用流)
    BZOJ 1565: [NOI2009]植物大战僵尸(网络流+缩点)
    BZOJ 1927: [Sdoi2010]星际竞速(费用流)
    BZOJ 5120: [2017国家集训队测试]无限之环(费用流)
    洛谷 5205 【模板】多项式开根
    LOJ 2737 「JOISC 2016 Day 3」电报 ——思路+基环树DP
    LOJ 2736 「JOISC 2016 Day 3」回转寿司 ——堆+分块思路
    bzoj 2216 [Poi2011]Lightning Conductor——单调队列+二分处理决策单调性
  • 原文地址:https://www.cnblogs.com/agostop/p/2355829.html
Copyright © 2011-2022 走看看