Como ultima nota acerca de la configuración de globals ten en cuenta que esta directiva no puede cambiarse dinámicamente con la función ini_set() , o mas exactamente si se puede, pero no sirve de nada ya que la directiva incluida en php.ini es la que se aplica al tiempo de la ejecución de tu script.
Si podriamos cambiar la configuración a traves de archivos .htaccess para servidores o carpetas concretas ( php_flag register_globals off ), o si usas un servidor apache con host virtuales, y tienes acceso a los archivos de configuración del server, mediante directivas virtualhost:
<VirtualHost 127.0.0.1>
ServerName localhost
DocumentRoot /var/www/html/misitio
php_value register_globals 0
</VirtualHost>.
PHP es un lenguaje de programación muy flexible, particularmente en el manejo de variables. En PHP no necesitas declarar o iniciar una variable antes de usarla, ni declarar el tipo de valor que puede contener (string, decimal, entero) ya que cualquier variable puede tener en principio cualquier tipo de valor.
Sin embargo, esta comodidad tambien implica un problema de seguridad, ya que cualquiera puede introducir en la ejecución de tu script nuevas variables y valores con alcance global. Por naturaleza, el código es mas seguro cuando el programador se asegura de que el valor de una variable viene de donde tiene que venir y pertenece al tipo que se le supone.
Con globals on hay que poner un cuidado especial en la validación de los datos introducidos por los usuarios y en las variables no inicializadas por el propio script antes de su uso.
Por contra, si tenemos desactivada esta opción, la variable no se crea directamente, y solo podemos acceder a su valor via superglobales , con lo que implícitamente estamos asegurandonos de que el valor de esa variable viene proporcionado por el método (get, post) previsto.
Las variables internas quedan asimismo aisladas, ya que por ejemplo, si usamos una variable $user_ok como clave para el proceso de autentificación del usuario, nadie podrá falsificarla mediante la adición de una cadena a una url ( http://www.sitio.net/login.php?user_ok=1 ), como podría hacer por el contrario con globals on
En cuanto a las variables que deben tomar su valor de una fuente externa al script, por ejemplo, la tipica variable $mail donde se almacena el email que nos proporciona el usuario, debemos acceder a ese valor mediante el empleo de $_GET['mail'] o $_POST['mail'] , segun el sistema previsto de envio. Las ventajas son en primer lugar que $mail no puede ser directamente modificada. Y con $_GET y $_POST podemos saber, al menos, si el dato nos es remitido por el método get o post seleccionado por nosotros.
SuperglobalesLos valores externos están ahora a nuestra disposición a través de los arrays predefinidos $_SERVER, $_ENV, $_SESSION, $_COOKIE, $_GET y $_POST
A veces la configuración óptima de PHP no será opción para nosotros, bien porque nuestra página está en un servidor comercial, bien porque necesitamos usar un script que precisa globals on para funcionar. He aqui unas pocas pistas que ayudarán a mejorar la seguridad:
Básicamente debes recordar que las variables que pasas de una página a otra via formulario, o las que recibes via url, deben ser leidas por el script no directamente, sino de la supervariable correspondiente
Otras variables a las que estamos acostumbrados dejan tambien de estar disponibles de forma directa. Asi, en lugar de $PHP_SELF tendras que usar $_SERVER['PHP_SELF'];
Usuarios que han visto este tema también han visto...
- Cachea tus páginas en 5 pasos con PHP
- Comillas magicas en PHP
- Creación de gráficas en PHP con JpGraph
- Mostrar la fecha en Español con PHP
- Conectar directamente al servidor SMTP con PHP
- Versión imprimible de este documento
- Enviar por e-mail este documento
Información legal | Política de Privacidad | Contacte con nosotros
Otro proyecto de Factoría de Internet. Copyright© 2003-2011 Factoría de Internet S.L.. Todos los derechos reservados.