如何克服php的register_global被关掉

最新推荐文章于 2023-05-05 14:40:23 发布
原创 最新推荐文章于 2023-05-05 14:40:23 发布 · 3.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #variables #wrapper #session #import #ini

本文探讨了PHPWind不同版本中处理全局变量的安全机制。早期版本通过一系列操作将全局变量安全地转换为本地变量,而4.3版本则采用更严格的检查措施。此外,还介绍了一种更简洁的方法来实现这一目标。

看看以前版本的phpwind代码:

unset($_ENV,$HTTP_ENV_VARS,$_REQUEST,$HTTP_POST_VARS,$HTTP_GET_VARS,$HTTP_POST_FILES,$HTTP_COOKIE_VARS);
if(!get_magic_quotes_gpc()){
     Add_S($_POST);
     Add_S($_GET);
     Add_S($_SESSION);       // wrapper of addslashes ()
}
if(!ini_get('register_globals')){
     @extract($_FILES,EXTR_SKIP);
}
foreach($_POST as $_key=>$_value){
     $$_key=$_POST[$_key];
}
foreach($_GET as $_key=>$_value){
     $$_key=$_GET[$_key];
}

利用php独特的变量机制,把全局变量安全地转换成本地变量。phpBIZ中也是用parse_income函数实现类似的功能。记住一点,本地比全局安全。

目前4.3版本的处理方法:

foreach($_POST as $_key=>$_value){
    !ereg("^/_",$_key) && !isset($$_key) && $$_key=$_POST[$_key];
}
foreach($_GET as $_key=>$_value){
    !ereg("^/_",$_key) && !isset($$_key) && $$_key=$_GET[$_key];
}

再补充:又看到一个函数,更简单了:
import_request_variables('pg');
一句就解决。

深入探究 register_globals(附register_globals=off 网站无法访问 PHP
VtteAlgorithm的博客
10-01 231
为了应用程序的安全性,建议始终禁用 register_globals,并使用超全局变量来访问用户提交的数据,同时进行适当的验证和过滤。然而,register_globals 功能的默认设置为禁用(register_globals=off),这是出于安全考虑。当 register_globals 启用时,PHP 将会自动将通过 GET、POST 和 COOKIE 请求传递的参数注册为全局变量,这意味着可以直接在代码中使用这些参数,而无需使用。这使得代码编写更加方便,但也带来了一些潜在的安全风险。
PHP7源码分析】PHP中$_POST揭秘
weixin_34391445的博客
10-31 1744
运营研发团队 季伟滨 一、前言 前几天的工作中,需要通过curl做一次接口测试。让我意外的是,通过$_POST竟然无法获取到Content-Type是application/json的http请求的body参数。 查了下php官网(http://php.net/manual/zh/rese...)对$_POST的描述,的确是这样。后来...
删除php 5.4,php – 解決register_globals在PHP 5.4之後移除的方案
weixin_39607090的博客
03-26 219
php – 解決register_globals在PHP 5.4之後移除的方案2013-04-30 / JSN / 0 Comments / 2,627 viewsregister_globals在 PHP 5.3.0 起廢棄並在PHP 5.4.0 起移除。這功能這樣子運作的:當你有一筆$_POST[a] = 123;嚴謹的寫法應該是$a = $_POST[a];echo $a; //輸出123但...
php 中的_$GLOBAL超全局变量在进程结束后是否会销毁
qq_27487739的博客
05-05 292
需要注意的是,`$GLOBALS` 变量包含所有全局变量,因此在使用它时应该格外小心。过多的全局变量可能会导致代码的维护性和调试性大大降低,因此应该尽量避免使用全局变量,特别是在大型项目中。在 PHP 中,`$GLOBALS` 是一个超全局变量,它是一个包含了所有全局变量的关联数组。由于它是一个超全局变量,因此可以在任何地方访问它,不管是在函数、类、文件外部还是文件内部。对于 `$GLOBALS` 变量来说,也是一样的情况,它会在脚本执行结束后被销毁。
PHP安全编程:register_globals的安全性 全局变量注册(转)
weixin_33739627的博客
07-29 209
如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHPregister_globals配置选项打开时,复杂的原始表单处理不复存在,公用变量会自动建立。它让PHP编程变得容易和方便,但同时也带来了安全隐患。 用户输入从何而来?第一个源是 GET、POST 和 COOKIE 数据。一般称为 GPC 数据。此数据的可识别程序依赖于一个有争议的 php.i...
phpregister_global 函数
孙宇linux-php技术博客
12-18 1463
我有的时候在看别人写的php代码时,看到 一个 参数接收页面。假设一个参数 是 name=dicky,在页面中就直接 echo $name,也没有通过 $_GET['name']或者$_POST['name']把值赋给一个变量。自己就纳闷了,这是怎么回事呢。是怎么赋值的呢?呵呵,应该一番查阅资料才了解了个中原因。因为我一开始都是从PHP5开始学习的,所以不了解也是理所当然的事情。register_
PHPregister_globals参数为OFF和ON的区别(register_globals 使用详解)
12-18
2. **代码可维护性和最佳实践**:PHP官方已经明确表示,从PHP 5.3版本开始,`register_globals`被标记为废弃,并在PHP 7中完全移除。因此,遵循最新的最佳实践和标准,避免依赖已废弃的特性,有利于保持代码的兼容性...
PHP错误处理函数register_shutdown_function使用示例
10-19
使用register_shutdown_function函数的一个明显优势是,它允许在脚本运行结束时执行一些清理操作,比如关闭数据库连接、释放资源等,保证程序的健壮性。另一个常见的用途是实现错误日志记录或错误通知,当脚本出现...
PHP __destruct与register_shutdown_function执行顺序探究
PHP编程中,`__destruct` 和 `register_shutdown_function` 都是与程序生命周期相关的特殊功能,但它们各自的作用和执行时机有所不同。 `__destruct` 是一个析构函数,它是面向对象编程中的一个重要概念。当对象...
PHP预定义变量升级与超全局数组$_SERVER详解
关闭`register_globals`后,这两个变量的作用域和行为将独立。 值得注意的是,当在命令行环境下运行PHP时,部分`$_SERVER`元素可能无法获取到,因为这些信息主要针对Web服务器环境。例如,`PHP_SELF`这个元素表示...
php博一博】PHP5.4开始register_global配置已被移除
mingzhou的专栏
06-02 2885
当你在升级PHPPHP5.4及之后的版本的时候,是否发现register_global配置指令不再生效了呢 因为从PHP5.4开始register_global配置指令被移除了。 http://www.php.net/manual/en/security.globals.php
分享下PHP register_globals 值为on与off的理解
weixin_40675515的博客
10-18 1099
PHP4.2.0版本开始,php.ini中的设置选项 register_globals 默认值变成了 off。所以,最好从现在就开始用Off的风格开始编程 register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。 代码: 复制代码 代码如下: 当register_globals=Off的时候,下一个程序接收的时
phpregister_global,PHP安全之register_globals的on和off的区别
weixin_42313675的博客
03-18 286
一、register_globals=Off和register_globals=On的区别register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数.register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。echo 'username::',$username;echo 'sub::',$sub;echo '...
phpregister_global,如何克服phpregister_global关掉
weixin_30592681的博客
03-18 219
看看以前版本的phpwind代码:unset($_ENV,$HTTP_ENV_VARS,$_REQUEST,$HTTP_POST_VARS,$HTTP_GET_VARS,$HTTP_POST_FILES,$HTTP_COOKIE_VARS);if(!get_magic_quotes_gpc()){Add_S($_POST);Add_S($_GET);Add_S($_SESSION); ...
register_globals使用详解 为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?
lihaiyin的专栏
12-29 422
register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数,如果你的问题是:为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?等等,那么你需要仔细的阅读以下的内容。 register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。 代码: 当regi
Register Globals (Exploit, PHP, Training)
hello world
02-27 394
介绍 这题所需的知识点是:register global---将所有提交的参数注册为全局变量,进而将某些变量的值覆盖为我们所需要的。更多参考PHP: Using Register Globals - Manual 分析 这题和mysql I那题很类似,但是由于加了一个判断: if (strtolower($login[0]) === 'admin') { $chall->onChallengeSolved(GWF_Session::getUserID()); } 判断中的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值