It would make this whole issue a lot less confusing for less-experienced PHP programmers if you just explained:
- $myVariable no longer works by default
- $_GET['myVariable'] works just fine
I'm embarrassed to say it's taken me six months since my ISP upgraded to PHP5 figure this out. I've completely rewritten scripts to stop using GET variables altogether.
I'm dumb.
Utilisation des variables super-globales
Avertissement
Cette fonctionnalité est OBSOLÈTE à partir de PHP 5.3.0 et a été SUPPRIMÉE à partir de PHP 5.4.0.
L'une des évolutions les plus controversées de PHP a été le changement de valeur par défaut de la directive PHP register_globals, qui est passée de On à Off en PHP » 4.2.0. Beaucoup d'applications dépendaient de cette directive, et de nombreux programmeurs ne savaient même pas qu'elle existait, et supposaient que c'était le fonctionnement normal de PHP. Cette page explique comment on peut écrire du code peu sécuritaire en utilisant cette directive. Gardez bien en tête que cette directive, par elle-même, n'est pas un trou de sécurité, mais qu'elle facilite leur création.
Lorsqu'elle est activée, register_globals va injecter vos scripts avec toutes sortes de variables, comme les variables issues des formulaires HTML. Ceci, couplé au fait que PHP ne requiert pas d'initialisation de variable signifie que la programmation de script peu sûr est possible. Ce fut une décision difficile de la communauté PHP, mais finalement, il a été décidé de désactiver par défaut cette variable. Lorsqu'elle est active, le programmeur ne sait pas exactement d'où provient le contenu de la variable, et ne peut que faire des suppositions. Les variables internes définies dans le script sont mélangées avec les données envoyées par les utilisateurs, et en désactivant register_globals, on empêche cela. Voyons avec un exemple le fonctionnement de register_globals :
Exemple #1 Exemple de mauvaise utilisation de register_globals
<?php
// $authorized = true uniquement si l'utilisateur est identifié
if (authenticated_user()) {
$authorized = true;
}
// Comme nous n'avons pas initialisé $authorized avec false, cette dernière
// peut être définie via register_globals, comme avec l'URL GET auth.php?authorized=1
// Tout le monde peut facilement être reconnu comme identifié!
if ($authorized) {
include "/donnees/critiques/data.php";
}
?>
Lorsque register_globals est activé, la logique ci-dessus peut être prise
en défaut. Lorsque register_globals est désactivée
$authorized ne peut plus être assignée via la requête, et
le script est maintenant sûr, même s'il reste recommandé de toujours
initialiser ses variables. Par exemple, dans notre programme ci-dessus, nous
pourrions ajouter $authorized = false. En faisant cela,
le script peut fonctionner avec register_globals on ou off, car les
utilisateurs seront par défaut non-identifiés.
Un autre exemple implique les sessions. Lorsque register_globals est activé, on peut aussi utiliser $username dans notre exemple, mais, encore une fois, vous devez garder en tête que $username peut aussi provenir d'autres biais, tels que GET (via l'URL).
Exemple #2 Exemple d'abus de sessions avec register_globals on ou off
<?php
// Nous ne savons pas d'où provient $username mais nous savons que
// $_SESSION contient les données de session
if (isset($_SESSION['username'])) {
echo "Bonjour <strong>{$_SESSION['username']}</strong>";
} else {
echo "Bonjour <strong>visiteur</strong><br />";
echo "Voulez-vous vous identifier?";
}
?>
Il est même possible de prendre des mesures préventives, pour être alerté lorsqu'une tentative d'usurpation est faite. Si vous savez à l'avance de quelle variable le nom d'utilisateur doit provenir, vous pouvez vérifier si les données que vous manipulez sont d'une origine contrôlée. Même si cela ne garantit pas que les données ne puissent être falsifiées, cela complique la tache du faussaire. Si vous ne vous préoccupez pas de l'origine des données, vous pouvez utiliser la variable $_REQUEST qui contient un mélange de données GET, POST et COOKIE. Voyez aussi la section du manuel concernant les variables de sources externes à PHP.
Exemple #3 Détection simple de fausses variables
<?php
if (isset($_COOKIE['MAGIC_COOKIE'])) {
// MAGIC_COOKIE provient d'un cookie.
// Assurez-vous de valider les données du cookie!
} elseif (isset($_GET['MAGIC_COOKIE']) || isset($_POST['MAGIC_COOKIE'])) {
mail("admin@example.com", "Tentative possible d'attaque", $_SERVER['REMOTE_ADDR']);
echo "Alerte sécurité, l'admin a été prévenu.";
exit;
} else {
// MAGIC_COOKIE ne provient pas de REQUEST
}
?>
Bien sur, désactiver l'option register_globals ne signifie pas que votre
code est sécuritaire. Pour chaque donnée reçu, vous devez appliquer un
maximum de validations. Vérifiez toujours les données de votre visiteur,
et initialisez vos variables! Pour vérifier les variables non-initialisées,
voyez la fonction error_reporting(), qui peut afficher
les erreurs de niveau E_NOTICE.
Pour des informations sur l'émulation de register_globals On ou Off, voyez la FAQ.
add a note
User Contributed Notes 12 notes
lester burlap ¶
15 years ago
claude dot pache at gmail dot com ¶
15 years ago
Beware that all the solutions given in the comments below for emulating register_global being off are bogus, because they can destroy predefined variables you should not unset. For example, suppose that you have
<?php $_GET['_COOKIE'] == 'foo'; ?>
Then the simplistic solutions of the previous comments let you lose all the cookies registered in the superglobal "$_COOKIE"! (Note that in this situation, even with register_global set to "on", PHP is smart enough to not mess predefined variables such as $_COOKIE.)
A proper solution for emulating register_global being off is given in the FAQ, as stated in the documentation above.
arman_y_92 at yahoo dot com ¶
10 years ago
To all those fans of this insecure functionality (which I'm glad is now turned off by default) , you can just use extract() to achieve a similar goal more securely (unless you overwrite local variables with $_GET or $_POST data).
elitescripts2000 at yahoo dot com ¶
11 years ago
<?php
/* Forces all GET and POST globals to register and be magically quoted.
* This forced register_globals and magic_quotes_gpc both act as if
* they were turned ON even if turned off in your php.ini file.
*
* Reason behind forcing register_globals and magic_quotes is for legacy
* PHP scripts that need to run with PHP 5.4 and higher. PHP 5.4+ no longer
* support register_globals and magic_quotes, which breaks legacy PHP code.
*
* This is used as a workaround, while you upgrade your PHP code, yet still
* allows you to run in a PHP 5.4+ environment.
*
* Licenced under the GPLv2. Matt Kukowski Sept. 2013
*/
if (! isset($PXM_REG_GLOB)) {
$PXM_REG_GLOB = 1;
if (! ini_get('register_globals')) {
foreach (array_merge($_GET, $_POST) as $key => $val) {
global $$key;
$$key = (get_magic_quotes_gpc()) ? $val : addslashes($val);
}
}
if (! get_magic_quotes_gpc()) {
foreach ($_POST as $key => $val) $_POST[$key] = addslashes($val);
foreach ($_GET as $key => $val) $_GET[$key] = addslashes($val);
}
}
?>
tomas at hauso dot sk ¶
8 years ago
for PHP5.4+ you can use registry pattern instead global
final class MyGlobal {
private static $data = array();
public static function get($key) {
return (isset(static::$data[$key]) ? static::$data[$key] : null);
}
public static function set($key, $value) {
static::$data[$key] = $value;
}
public static function has($key) {
return isset(static::$data[$key]);
}
}
// END OF CLASS
$var1 = 'I wanna be global';
MyGlobal::set('bar', $var1 ); // set var to registry
function foo(){
echo MyGlobal::get('bar'); // get var from registry
}
foo();
thewordsmith at hotmail dot com ¶
9 years ago
//Some servers do not have register globals turned on. This loop converts $_BLAH into global variables.
foreach($_COOKIE as $key => $value) {
if(!is_array($value)){
${$key} = trim(rawurldecode($value));
//echo "$key $value<br>";
}
else{
${$key} = $value;
}
}
foreach($_GET as $key => $value) {
if(!is_array($value)){
${$key} = trim(rawurldecode($value));
//echo "$key $value<br>";
}
else{
${$key} = $value;
}
}
foreach($_POST as $key => $value) {
if(!is_array($value)){
${$key} = trim(rawurldecode($value));
//echo "$key $value<br>";
}
else{
${$key} = $value;
}
}
foreach($_REQUEST as $key => $value) {
if(!is_array($value)){
${$key} = trim(rawurldecode($value));
//echo "$key $value<br>";
}
else{
${$key} = $value;
}
}
foreach($_SERVER as $key => $value) {
if(!is_array($value)){
${$key} = trim(rawurldecode($value));
//echo "$key $value<br>";
}
else{
${$key} = $value;
}
}
chirag176 at yahoo dot com dot au ¶
9 years ago
$mypost = secure($_POST);
function AddBatch($mypost,$Session_Prefix){
...
}
Ruquay K Calloway ¶
16 years ago
While we all appreciate the many helpful posts to get rid of register_globals, maybe you're one of those who just loves it. More likely, your boss says you just have to live with it because he thinks it's a great feature.
No problem, just call (below defined):
<?php register_globals(); ?>
anywhere, as often as you want. Or update your scripts!
<?php
/**
* function to emulate the register_globals setting in PHP
* for all of those diehard fans of possibly harmful PHP settings :-)
* @author Ruquay K Calloway
* @param string $order order in which to register the globals, e.g. 'egpcs' for default
*/
function register_globals($order = 'egpcs')
{
// define a subroutine
if(!function_exists('register_global_array'))
{
function register_global_array(array $superglobal)
{
foreach($superglobal as $varname => $value)
{
global $$varname;
$$varname = $value;
}
}
}
$order = explode("\r\n", trim(chunk_split($order, 1)));
foreach($order as $k)
{
switch(strtolower($k))
{
case 'e': register_global_array($_ENV); break;
case 'g': register_global_array($_GET); break;
case 'p': register_global_array($_POST); break;
case 'c': register_global_array($_COOKIE); break;
case 's': register_global_array($_SERVER); break;
}
}
}
?>
steve at dbnsystems dot com ¶
8 years ago
The following version could be even faster, unless anyone may come with a good reason why this wouldn't be a good practice:
<pre>
function unregister_globals() {
if (ini_get(register_globals)) {
$array = array('_REQUEST', '_SESSION', '_SERVER', '_ENV', '_FILES');
foreach ($array as $value) {
$$value = [];
}
}
}
</pre>
moore at hs-furtwangen dot de ¶
16 years ago
I had a look at the post from Dice, in which he suggested the function unregister_globals(). It didn't seem to work - only tested php 4.4.8 and 5.2.1 - so I made some tweaking to get it running. (I had to use $GLOBALS due to the fact that $$name won't work with superglobals).
<?php
//Undo register_globals
function unregister_globals() {
if (ini_get('register_globals')) {
$array = array('_REQUEST', '_FILES');
foreach ($array as $value) {
if(isset($GLOBALS[$value])){
foreach ($GLOBALS[$value] as $key => $var) {
if (isset($GLOBALS[$key]) && $var === $GLOBALS[$key]) {
//echo 'found '.$key.' = '.$var.' in $'.$value."\n";
unset($GLOBALS[$key]);
}
}
}
}
}
}
?>
The echo was for debuging, thought it might come in handy.
Dice ¶
16 years ago
To expand on the nice bit of code Mike Willbanks wrote and Alexander tidied up, I turned the whole thing in a function that removes all the globals added by register_globals so it can be implemented in an included functions.php and doesn't litter the main pages too much.
<?php
//Undo register_globals
function unregister_globals() {
if (ini_get(register_globals)) {
$array = array('_REQUEST', '_SESSION', '_SERVER', '_ENV', '_FILES');
foreach ($array as $value) {
foreach ($GLOBALS[$value] as $key => $var) {
if ($var === $GLOBALS[$key]) {
unset($GLOBALS[$key]);
}
}
}
}
}
?>
