在早期的 PHP 版本中，register_globals 是一个非常方便的功能。它允许开发者使用简单的变量名称来访问 GET、POST 或 COOKIE 数据，无需明确地引用与之相关的数组。比如，如果用户通过 GET 方法传递了一个名为“name”的参数，开发者可以直接使用“$name”来访问它，而无需使用“$_GET['name']”。然而，随着 PHP 的发展，register_globals 被认为是一个非常危险的功能。在本文中，我们将讨论为什么 register_globals 被视为一种不安全的方法，并提供一些建议，帮助 PHP 开发者避免使用这种功能。

register_globals 的问题

最显著的 register_globals 问题之一是安全性。因为 register_globals 允许 PHP 程序自动传递任何变量到脚本中，它可能会对注入式攻击产生不良影响。例如，如果攻击者能够通过某种方式将恶意代码注入到 PHP 程序中，并且该程序使用 register_globals，那么攻击者就能够获取关键信息，而不需要经过身份验证。这种情况下，攻击者可以创建一个 GET 请求，其中包括一个名为“username”的参数，并将其设置为登录某个用户帐户的凭据。此外，攻击者还可以使用 GET 参数来控制程序中的变量或参数，以便将恶意代码注入到系统中。

除了安全问题外，还存在着其他的 register_globals 问题。首先，这种功能可能会增加程序中的代码复杂度和维护成本。因为程序员需要维护一个很大的全局命名空间，从而使代码更难理解和维护。其次，使用 register_globals 可能会导致变量之间的命名冲突，从而使代码更容易出现错误。由于变量名称不必非常明确，程序员可能会使用相同的名称来指代不同的变量，从而使代码出现错误。

避免 register_globals 的方法

为了避免 register_globals 的安全问题和其他问题，PHP 开发者应该遵循一些最佳实践。首先，最好在 PHP 中关闭 register_globals。这可以通过在 php.ini 文件中设置以下命令来实现：

```

register_globals = Off

```

除了关闭 register_globals，还应该使用一些安全的 PHP 函数，如“filter_input()”和“filter_input_array()”，以确保从用户处接收的输入是安全和适当的。这些函数可以帮助过滤参数，并验证数据类型和完整性，从而避免恶意代码注入可能带来的风险。

PHP 开发者还应该避免使用全局变量。相反，他们应该使用一些有效的命名约定和范围，如对变量、函数和类的范围进行严格管理。此外，他们应该使用适当的注释来说明每个变量和函数的用途。

最后，PHP 开发者应该使用一些最佳实践来提高代码的可读性、可维护性和性能，如减少公共函数、避免使用长函数、避免过度地使用循环，等等。

总结

register_globals 是一个非常方便的 PHP 功能，但它有安全和其他问题。为了避免这些问题，PHP 开发者应该关闭 register_globals，并使用安全的 PHP 函数、有效的命名和范围管理和其他最佳实践。这将有助于确保代码的安全性、可读性和可维护性，并提高程序的性能。