PHP中register_globals引发的题目
核心提示:前几天要命了。由于偷懒,服信建材拿tg的代码来复用了1下,本地测试完,传到新开的虚拟主机上往。不能登录...
前几天要命了。由于偷懒,服信建材拿tg的代码来复用了1下,本地测试完,传到新开的虚拟主机上往。不能登录,phpinfo();看了1下,果然是register_globals没开。
要信诺立给开是不可能了。。如何有效地改最少的代码,让全部程序正常地跑起来呢。。
刚学PHP的时候,官方文档上demo建议用户封闭全局变量并且用$_REQUEST["XXX"]、$_POST["XXX"]等方式取得表单传送过来的数据,当时也没有深究究竟为甚么要这么做,
惯性的气力真的是比较强大,后来看myg(就用缩写了,省得待会儿又被他用so361.com[广告]甚么的搜出来。)写的程序看很多了,我也就随着全部用全局变量传递表单提交的数据。没想到这下碰到了钉子。
先重新回头往看看register_globals究竟工作原理是怎样。。开起来有甚么不好。。
实在在相当1段时间内,PHP作为利用的最广泛的服务器端脚本语言的最大卖点之1就是会为从表单提交的值自动建立1个全局变量。方便多个资源跳转时数据的共享。
我们通常这样来写1个身份验证程序:
| 以下为援用的内容:
$authorized = false; //稍微谨慎1点的程序员还会将其初始化为false if ($authorized == false) { |
那末,用户只要在要求验证程序的时候在url后面添加1个?$authorized=false便可以够成功突破安全限制,从而取得访问权利了,恐怖。
所以在4.1.*以后,php.ini中的register_globals选项默以为封闭,以避免此类事情产生。。因此EGPCS值将不会被作为全局变量来创建。但他们可以通过各自1个系统指定的数组来访问,他们被称为超全局变量:$_ENV、$_GET、$_POST、$_COOKIE和$_SERVER。至于他们分别在甚么时候用。。从名字便可以够看出来了。
实在我们最常常使用的也就是$_POST了。
要让上面的程序跑起来。。我们只需要在上面的程序里添两行代码:
| 以下为援用的内容:
$frm_username = $_POST['frm_username']; 还有1点好处就是之前当register_globals开启时,我们需要增加1行代码以在函数中获得$frm_username和$frm_password等变量的值 即使是使用$HTTP_POST_VARS数组以取得表单提交传递过来的值,但是我们还是需要从全局范围导进这个数组: |
但是在PHP 4.1及以后的版本中,特殊的$_POST变量(和上面提到的其它变量)则完全没必要那末麻烦地做,EGPCS值可以在所有范围内使用而不需要先在函数中申明了,
而且特殊的$_SESSION数组的引进实际上也大大简化了session代码。我们完全没必要将session变量申明为全局变量,然后再往留意哪些变量是否是被注册了,我们现在可以简单地从$_SESSION['varname']中援用所有的session变量。
需要修改的代码也10分10分的简单。
| 以下为援用的内容:
session_start(); |
我们只需要直接在$_SESSION数组中设置authorized变量,然后用一样的方法使用它。这样程序变得更短了,而且对全局变量中是否是有重名也不会引发混乱了。。
就这么简单,想想还不就那末回事情嘛。前两天绞尽脑汁想有甚么简单点的方法避免修改全部代码,就是想不出来,今天问孟誉国死活要了1份他的解决方案:
| 以下为援用的内容:
//全局变量设置 |
拿到以后1拍脑脑袋,不是自己便可以写嘛,而且代码可以更简单:
| 以下为援用的内容:
if(!empty($_GET)) extract($_GET); |
检查变量是否是为空,假设非空,往掉数组头,导进到当前符号表。
或用foreach遍历数组的同时转换掉格式,
| 以下为援用的内容:
if (!ini_get('register_globals')) |
这年头,依托思想都太重了,有他人现成的代码,总想偷懒拿过来就用。
导致头脑越来越不好使,又怪得来谁呢,怪不得今天又被讽刺了1句“我看你还是不要当程序员了”。
TAG:程序,内容,代码,数组,变量
|
评论加载中...
|
邮 箱:admin@fw8.net 