Использование глобальных переменных (Register_Globals)

Наверное, наиболее спорным моментом в разработке PHP стала замена значения по умолчанию для опции register_globals с ON на OFF в версии » 4.2.0. Большинство пользователей доверились разработчикам, даже не зная, что это за опция и как она влияет на работу PHP. Эта страница документации призвана показать, как эта настройка сочетается с вопросами безопасности при разработке приложений. Следует понимать, что сама по себе эта опция никак не влияет на безопасность, ургозу представляет некорректное использование предоставляемых ею возможностей.

В случае, если значение параметра register_globals ON, перед выполнением вашего кода будут инициализированы различные переменные, например, переменные, переданные при отправке формы. Также, учитывая тот факт, что PHP не требует инициализации переменных, написать потенциально опасный код очень легко. Это было очень спорным решением, но общество разработчиков PHP решило изменить значение по умолчанию этой директивы на OFF. В противном случае при написании кода разработчики не могли бы с уверенностью сказать, откуда пришла та или иная переменная и насколько она достоверна. До такого нововведения переменные, определяемые разработчиком внутри скрипта, и передаваемые пользователем внешние данные могли перемешиваться. Приведем простой пример злоупотребления конфигурационной опцией register_globals:

Пример #1 Пример опасного кода с register_globals = on

<?php
// устанавливаем переменную $authorized = true только для пользователей, прошедших авторизацию
if (authenticated_user()) {
    
$authorized true;
}

// Поскольку в случае неудачи при проверке авторизации переменная $authorized 
// не установлена, она может быть установлена автоматически, благодаря register_globals,
// например, при GET запросе GET auth.php?authorized=1.
// Таким образом, пройти эту проверку можно без авторизации
if ($authorized) {
    include 
"/highly/sensitive/data.php";
}
?>

В случае register_globals = on логика работы скрипта может быть нарушена. В случае, если установленное значение off, переменная $authorized не может быть установлена из внешних данных запроса, и скрипт будет работать корректно. Но все же инициализация переменных - один из признаков хорошего тона в программировании. Например, в приведенном выше участке кода мы могли поместить $authorized = false в качестве первой строки. Такой код работал бы как со значением on, так и off опции register_globals, и подразумевая, что по умолчанию пользователь не проходил авторизацию.

Приведем еще один пример, использующий сессии. В случае, если register_globals = on, мы можем использовать переменную $username в приведенном ниже примере, но тогда у нас не будет уверенности в достоверности ее значения (к примеру, она могла быть передана в GET-запросе).

Пример #2 Пример использования сессий со значением register_globals on или off

<?php
// Мы не знаем, откуда получена переменная $username, но точно знаем, что
// переменная $_SESSION хранит в себе данные сессии
if (isset($_SESSION['username'])) {

    echo 
"Hello <b>{$_SESSION['username']}</b>";

} else {

    echo 
"Hello <b>Guest</b><br />";
    echo 
"Would you like to login?";

}
?>

Также существует возможность реализации оперативного реагирования в случае попытки подмены переменных. Так как во время разработки приложения мы знаем ожидаемое значение переменной, а также знаем ее достоверное значение, мы можем их сопоставить. Это не защитит код от подмены переменных, но усложнит перебор возможных вариантов. Если вы не хотите знать, как именно были получены внешние данные, используйте переменную $_REQUEST, которая состоит из данных GET и POST запросов, а также данных COOKIE. Также, информацию об этом можно найти в разделе внешние данные в PHP.

Пример #3 Обнаружение попытки подмены переменных

<?php
if (isset($_COOKIE['MAGIC_COOKIE'])) {

    
// MAGIC_COOKIE получена из достоверного источника.
    // Для полной уверенности необходимо проверить ее значение.

} elseif (isset($_GET['MAGIC_COOKIE']) || isset($_POST['MAGIC_COOKIE'])) {

   
mail("admin@example.com""Обнаружена попытка взлома"$_SERVER['REMOTE_ADDR']);
   echo 
"Обнаружено нарушение безопасности, администратор уведомлен.";
   exit;

} else {

   
// MAGIC_COOKIE в данных запроса не присутствует
}
?>

Следует понимать, что установка register_globals в off не сделает ваш код безопасным. Каждую полученную от пользователя переменную следует проверять на соответствие ожидаемому значению. Всегда проверяйте ввод пользователя и инициализируйте все используемые переменные. Для проверки на наличие неинициализированных переменных можно включить в опцию error_reporting() отображение ошибок категории E_NOTICE.

Замечание: Суперглобальные переменные: замечание о доступностиНачиная с PHP 4.1.0, стали доступными суперглобальные массивы, такие как $_GET, $_POST, $_SERVER и т.д. Дополнительную информацию смотрите в разделе руководства superglobals

Коментарии

Автор:
While we all appreciate the many helpful posts to get rid of register_globals, maybe you're one of those who just loves it.  More likely, your boss says you just have to live with it because he thinks it's a great feature.

No problem, just call (below defined):

<?php register_globals(); ?>

anywhere, as often as you want.  Or update your scripts!

<?php
/**
 * function to emulate the register_globals setting in PHP
 * for all of those diehard fans of possibly harmful PHP settings :-)
 * @author Ruquay K Calloway
 * @param string $order order in which to register the globals, e.g. 'egpcs' for default
 */
function register_globals($order 'egpcs')
{
   
// define a subroutine
   
if(!function_exists('register_global_array'))
    {
        function 
register_global_array(array $superglobal)
        {
            foreach(
$superglobal as $varname => $value)
            {
                global $
$varname;
                $
$varname $value;
            }
        }
    }
   
   
$order explode("\r\n"trim(chunk_split($order1)));
    foreach(
$order as $k)
    {
        switch(
strtolower($k))
        {
            case 
'e':    register_global_array($_ENV);        break;
            case 
'g':    register_global_array($_GET);        break;
            case 
'p':    register_global_array($_POST);        break;
            case 
'c':    register_global_array($_COOKIE);    break;
            case 
's':    register_global_array($_SERVER);    break;
        }
    }
}
?>
2008-04-01 08:59:27
http://php5.kiev.ua/manual/ru/security.globals.html
Автор:
To expand on the nice bit of code Mike Willbanks wrote and Alexander tidied up, I turned the whole thing in a function that removes all the globals added by register_globals so it can be implemented in an included functions.php and doesn't litter the main pages too much.

<?php
//Undo register_globals
function unregister_globals() {
    if (
ini_get(register_globals)) {
       
$array = array('_REQUEST''_SESSION''_SERVER''_ENV''_FILES');
        foreach (
$array as $value) {
            foreach (
$GLOBALS[$value] as $key => $var) {
                if (
$var === $GLOBALS[$key]) {
                    unset(
$GLOBALS[$key]);
                }
            }
        }
    }
}
?>
2008-04-16 00:46:36
http://php5.kiev.ua/manual/ru/security.globals.html
I had a look at the post from Dice, in which he suggested the function unregister_globals(). It didn't seem to work - only tested php 4.4.8 and 5.2.1 - so I made some tweaking to get it running. (I had to use $GLOBALS due to the fact that $$name won't work with superglobals).

<?php
//Undo register_globals
function unregister_globals() {
    if (
ini_get('register_globals')) {
       
$array = array('_REQUEST''_FILES');
        foreach (
$array as $value) {
            if(isset(
$GLOBALS[$value])){
                foreach (
$GLOBALS[$value] as $key => $var) {
                    if (isset(
$GLOBALS[$key]) && $var === $GLOBALS[$key]) {
                       
//echo 'found '.$key.' = '.$var.' in $'.$value."\n";                   
                       
unset($GLOBALS[$key]);
                    }
                }
            }
        }
    }
}
?>

The echo was for debuging, thought it might come in handy.
2008-07-14 16:19:27
http://php5.kiev.ua/manual/ru/security.globals.html
Beware that all the solutions given in the comments below for emulating register_global being off are bogus, because they can destroy predefined variables you should not unset. For example, suppose that you have

<?php $_GET['_COOKIE'] == 'foo'?>

Then the simplistic solutions of the previous comments let you lose all the cookies registered in the superglobal "$_COOKIE"! (Note that in this situation, even with register_global set to "on", PHP is smart enough to not mess predefined variables such as  $_COOKIE.)

A proper solution for emulating register_global being off is given in the FAQ, as stated in the documentation above.
2009-01-15 07:52:22
http://php5.kiev.ua/manual/ru/security.globals.html
Автор:
It would make this whole issue a lot less confusing for less-experienced PHP programmers if you just explained:

- $myVariable no longer works by default
- $_GET['myVariable'] works just fine

I'm embarrassed to say it's taken me six months since my ISP upgraded to PHP5 figure this out.  I've completely rewritten scripts to stop using GET variables altogether.

I'm dumb.
2009-03-23 11:00:28
http://php5.kiev.ua/manual/ru/security.globals.html
<?php

/* Forces all GET and POST globals to register and be magically quoted.
 * This forced register_globals and magic_quotes_gpc both act as if
 * they were turned ON even if turned off in your php.ini file.
 *
 * Reason behind forcing register_globals and magic_quotes is for legacy
 * PHP scripts that need to run with PHP 5.4 and higher.  PHP 5.4+ no longer
 * support register_globals and magic_quotes, which breaks legacy PHP code.
 *
 * This is used as a workaround, while you upgrade your PHP code, yet still
 * allows you to run in a PHP 5.4+ environment.
 *
 * Licenced under the GPLv2. Matt Kukowski Sept. 2013
 */

if (! isset($PXM_REG_GLOB)) {

 
$PXM_REG_GLOB 1;

  if (! 
ini_get('register_globals')) {
    foreach (
array_merge($_GET$_POST) as $key => $val) {
      global $
$key;
      $
$key = (get_magic_quotes_gpc()) ? $val addslashes($val);
    }
  }
  if (! 
get_magic_quotes_gpc()) {
    foreach (
$_POST as $key => $val$_POST[$key] = addslashes($val);
    foreach (
$_GET as $key => $val$_GET[$key]  = addslashes($val);
  }
}

?>
2013-08-30 07:23:43
http://php5.kiev.ua/manual/ru/security.globals.html
To all those fans of this insecure functionality (which I'm glad is now turned off by default) , you can just use extract() to achieve a similar goal more securely (unless you overwrite local variables with $_GET or $_POST data).
2014-08-28 17:44:29
http://php5.kiev.ua/manual/ru/security.globals.html
$mypost = secure($_POST);

function AddBatch($mypost,$Session_Prefix){
...
}
2015-02-20 23:52:42
http://php5.kiev.ua/manual/ru/security.globals.html
Автор:
Fatal error: Cannot re-assign auto-global variable _POST

Final Solution for php 5.4 and above version

$a =  $_POST;
function add($_POST;){
 echo $_POST['a'];
 echo $_POST['b'];
}
add($a);
2015-02-21 03:26:17
http://php5.kiev.ua/manual/ru/security.globals.html
//Some servers do not have register globals turned on. This loop converts $_BLAH into global variables.
foreach($_COOKIE as $key => $value) {
    if(!is_array($value)){
        ${$key} = trim(rawurldecode($value));
        //echo "$key $value<br>";
    }
    else{
        ${$key} = $value;
    }
}
foreach($_GET as $key => $value) { 
    if(!is_array($value)){
        ${$key} = trim(rawurldecode($value));
        //echo "$key $value<br>";
    }
    else{
        ${$key} = $value;
    }
}
foreach($_POST as $key => $value) { 
    if(!is_array($value)){
        ${$key} = trim(rawurldecode($value));
        //echo "$key $value<br>";
    }
    else{
        ${$key} = $value;
    }
}
foreach($_REQUEST as $key => $value) { 
    if(!is_array($value)){
        ${$key} = trim(rawurldecode($value));
        //echo "$key $value<br>";
    }
    else{
        ${$key} = $value;
    }
}
foreach($_SERVER as $key => $value) { 
    if(!is_array($value)){
        ${$key} = trim(rawurldecode($value));
        //echo "$key $value<br>";
    }
    else{
        ${$key} = $value;
    }
}
2015-04-15 01:09:21
http://php5.kiev.ua/manual/ru/security.globals.html
The following version could be even faster, unless anyone may come with a good reason why this wouldn't be a good practice:

<pre>
function unregister_globals() {
    if (ini_get(register_globals)) {
        $array = array('_REQUEST', '_SESSION', '_SERVER', '_ENV', '_FILES');
        foreach ($array as $value) {
            $$value = [];
        }
    }
}
</pre>
2016-09-07 05:23:54
http://php5.kiev.ua/manual/ru/security.globals.html
for PHP5.4+ you can use registry pattern instead global

final class MyGlobal {
    private static $data = array();

    public static function get($key) {
        return (isset(static::$data[$key]) ? static::$data[$key] : null);
    }

    public static function set($key, $value) {
        static::$data[$key] = $value;
    }

    public static function has($key) {
        return isset(static::$data[$key]);
    }

}
// END OF CLASS

$var1 = 'I wanna be global';

MyGlobal::set('bar', $var1 ); // set var to registry

function foo(){
    echo MyGlobal::get('bar'); // get var from registry
}

foo();
2016-11-18 03:30:37
http://php5.kiev.ua/manual/ru/security.globals.html

    Поддержать сайт на родительском проекте КГБ