-
A partir da versão 4.2.2 a diretiva "register_globals" foi definida como false ("off"), para evitar futuras brechas de segurança.
Quando a diretiva é habilitada o proprio PHP inicializa variaveis internas para vários tipos de situações, uma delas é para os formulários, dessa forma o desenvolvedor poderia utilizar variaveis sem saber ao certo de onde elas vinham. A partir de um certo ponto isso começa a gerar brenchas de segurança e códigos inseguros.
-
Essa ultima parte ficou muito subjetiva: "e também evitar que os desenvolvedores escrevam códigos inseguros.", existem n formas de um código ser inseguro, injection entre n outros. Trocando para register_globals=off não quer dizer que o código é seguro.
-
é só desativar a diretiva e o código passa a ser seguro?
essas questões de interpretação complica tudo na hora da prova..
-
por sorte já li um papel sobre recomendações de segurança para PHP e isso era uma das recomendações. Pelo que li qualquer coisa que fosse passada por GET ou POST poderia virar uma variável e ser acessivel
-
isso ninguém evita: ..evitar que os desenvolvedores escrevam códigos inseguros.
-
T certo. Uma variavel vai deixar TUDO mais seguro.