php全局变量漏洞 $GLOBALS

在Discuz代码中有这么一段：
if (isset($_REQUEST[‘GLOBALS’]) OR isset($_FILES[‘GLOBALS’])) {
 exit(‘Request tainting attempted.’);
}
register_globals 是php中的一个控制选项，可以设置成off或者on ，默认为off,决定是否将EGPCS（Environment，GET，POST，Cookie，Server）变量注册为全局变量。
如果register_globals打开的话, 客户端提交的数据中含有GLOBALS变量名, 就会覆盖服务器上的$GLOBALS变量.
所以 这段代码, 就是判断, 如果提交的数据中有GLOBALS变量名, 就终止程序。
 
由此引起的安全问题成为PHP的“自动全局变量漏洞”，所以我们要坚决把register_globals关掉。并且使用$_GET, $_POST, $_COOKIE 而非$_REQUEST 。
Discuz!论坛绕过全局变量防御漏洞由于php5.3.x版本php.ini的设置中request_order 默认值为GP ，导致Discuz! 6.x/7.x中可以绕过全局变量防御。
 
在include/global.func.php中：
 
function daddslashes($string, $force = 0) {
    !defined(‘MAGIC_QUOTES_GPC’) && define(‘MAGIC_QUOTES_GPC’, get_magic_quotes_gpc());
    if(!MAGIC_QUOTES_GPC || $force) {
        if(is_array($string)) {
            foreach($string as $key => $val) {
                $string[$key] = daddslashes($val, $force);
            }
        } else {
            $string = addslashes($string);
        }
    }
    return $string;
}
 
include/common.inc.php中：
 
foreach(array(‘_COOKIE’, ‘_POST’, ‘_GET’) as $_request) {
    foreach($$_request as $_key => $_value) {
        $_key{0} != ‘_’ && $$_key = daddslashes($_value);
    }
}
 
在register_globals=on时通过提交GLOBALS变量就可以绕过上面的代码。为了防范这种情况，Discuz!中有如下代码:
 
if (isset($_REQUEST[‘GLOBALS’]) OR isset($_FILES[‘GLOBALS’])) {
    exit(‘Request tainting attempted.’);
}
 
$_REQUEST这个超全局变量的值受php.ini中request_order的影响，在最新的php5.3.x系列中，request_order默认值为GP，也就是说默认配置下$_REQUEST只包含$_GET和$_POST而不包括$_COOKIE。通过COOKIE就可以提交GLOBALS变量。
 
临时解决方法：
 
更改php 5.3.x里的php.ini设置，设置request_order 为GPC 。
 
补充：
string substr ( string string, int start [, int length] )
其中start如果为负，则从字符串最后一个字符开始向回倒数到start字符，作为起始点。
如果length为负，则从字符串最后一个字符开始向回倒数到length字符，作为终点。
其中，如果字符串长度小于或等于start，则返回false。
如果起点位置超过终点位置，则返回一个空字符串。
 
set_magic_quotes_runtime(0)
在php.ini的配置文件中，有个布尔值的设置，就是magic_quotes_runtime,当它打开时，php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。
当然如果重复给溢出字符加反斜线，那么字符串中就会有多个反斜线，所以这时就要用set_magic_quotes_runtime()与get_magic_quotes_runtime()设置和检测php.ini文件中magic_quotes_runtime状态。
为了使自己的程序不管服务器是什么设置都能正常执行。可以在程序开始用get_magic_quotes_runtime检测设置状态秋决定是否要手工处理，或者在开始（或不需要自动转义的时候）用set_magic_quotes_runtime(0)关掉。
magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的'”加上反斜线。可以用get_magic_quotes_gpc()检测系统设置。如果没有打开这项设置，可以使用addslashes()函数添加，它的功能就是给数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（’）、双引号（”）、反斜线（）与 NUL（NULL 字符）。
 
error_reporting(0)
// Turn off all error reporting
error_reporting(0);
即关闭所有错误输出。