Uso de register globals con PHP

Quizás el cambio más controversial en la historia de PHP se ha dado cuando la directiva register_globals pasó de tener como valor por defecto ON al valor OFF en PHP 4.2.0 . La dependencia sobre esta directiva era bastante común y muchas personas nisiquiera estaban enteradas de que existía y asumían que ese era el modo en que PHP trabajaba. Esta página explicará cómo puede llegar a escribirse código inseguro con esta directiva pero tenga en mente que no es la directiva misma la que es insegura sino el uso inapropiado de ella.

Cuando se encuentra activa, la directiva register_globals inyectará sus scripts con todo tipo de variables, como variables de peticiones provenientes de formularios HTML. Esto junto con el hecho de que PHP no requiere la inicialización de variables significa que es muy fácil escribir código inseguro. Fue una decisión difícil, pero la comunidad de PHP decidió desahibilar esta directiva por defecto. Cuando está habilitada, las personas usan variables sin saber con seguridad de dónde provienen y solo queda asumir. Las variables internas que son definidas en el script mismo son mezcladas con los datos enviados por los usuarios y al deshabilitar register_globals se modifica este comportamiento. Demostremos este caso con un ejemplo del uso incorrecto de register_globals:

Ejemplo 29-1. Ejemplo del uso inapropiado de register_globals = on

<?php
// definir $autorizado = true solo si el usuario ha sido autenticado

if ( usuario_autenticado ()) {
$autorizado = true ;
}

// Ya que no inicializamos $autorizado como false, esta podria estar
// definida a traves de register_globals, como en el caso de GET
// auth.php?autorizado=1

// De modo que cualquier persona podria verse como autenticada!

if ( $autorizado ) {
    include "/datos/muy/importantes.php" ;
}
?>

Cuando register_globals = on, nuestra lógica anterior podría verse comprometida. Cuando la directiva está deshabilitada, $autorizado no puede definirse a través de peticiones, así que no habrá ningún problema, aunque es cierto que siempre es una buena práctica de programación inicializar las variables primero. Por ejemplo, en nuestro ejemplo anterior pudimos haber realizado primero algo como $authorized = false . Hacer esto representa que el código anterior podría funcionar con register_globals establecido a on u off ya que los usuarios no serían autorizados por defecto.

Otro ejemplo es aquel de las sesiones . Cuando register_globals = on, podríamos usar también $nombre_usuario en nuestro siguiente ejemplo, pero nuevamente usted debe notar que $nombre_usuario puede provenir de otros medios, como GET (a través de la URL).

Ejemplo 29-2. Ejemplo del uso de sesiones con register_globals on u off

<?php
// No sabriamos de donde proviene $nombre_usuario, pero sabemos que
// $_SESSION es para datos de sesion

if (isset( $_SESSION [ 'nombre_usuario' ])) {

    echo "Hola <b>{$_SESSION['nombre_usuario']}</b>" ;

} else {

    echo "Hola <b>Invitado</b><br />" ;
    echo "&iquest;Quisiera iniciar su sesi&oacute;n?" ;

}
?>

Usuarios que han visto este tema también han visto...

- Recuperado la calidad de una imagen JPEG en PHP
- Introducción basica a Flash con PHP
- Paginador en PHP con buscador incluído para MySQL
- Detectar si el navegador soporta WML con PHP
- Cacheando scripts para máxima optimización

- Versión imprimible de este documento
- Enviar por e-mail este documento