送设?/span> 保质?/span> 高品?/span>
当前位置:主页 > 互联网时代 >

代码审计之php.ini配置详解

文章出处:未知 发表时间:2020-11-16

效果:这个设置的效果是设置全局变量的主动注册。

版别特性:本特性已自 PHP 5.3.0 起抛弃并将自 PHP 5.4.0 起移除。5.2.0中默许敞开

 ?php
$username=$_GET['username'];
$password=$_GET['password'];
// 当用户合法的时分,赋值
if ){
 $authorized = true;
// 因为并没有事先把 $authorized 初始化为 false,
// 当 register_globals 翻开时,或许经过GET auth.php?authorized=1 来界说该变量值
// 所以任何人都能够绕过身份验证
if  {
 echo You have login 
}else{
 echo You have login out 
}? 

验证poc:

http://127.0.0.1/test.php? username=xxx password=xxx authorized=true

该特性常常引起变量掩盖缝隙,既能够成为上述绕过身份认证的办法,也能够打破其他已维护的变量发生新缝隙。如sql注入等,此刻需求重视该变量被处理时地点的方位。

效果:这个设置决议是否答应运用PHP代码开端标志的缩写方式 ? ?

推荐产品

同类文章排行

最新资讯文章

友情链接