PHP Misconfiguration: register_globals Enabled

Configurar PHP para registrar todas las variables de entorno, GET, POST, de cookie y de servidor de forma global puede provocar un comportamiento inesperado y deja la puerta abierta a los atacantes.

Cuando está activada, la opción register_globals hace que PHP registre todas las variables EGPCS (entorno, GET, POST, cookie y servidor) de forma global, por lo que se puede acceder a ellas en cualquier ámbito de cualquier programa de PHP. Esta opción anima a los programadores a escribir programas más o menos desconocedores del origen de los valores en los que confían, lo cual puede provocar un comportamiento inesperado en entornos bienintencionados y deja la puerta abierta a los atacantes en entornos malintencionados. Al reconocerse las peligrosas implicaciones de seguridad de register_globals, esta opción estaba desactivada de forma predeterminada en PHP 4.2.0 y se eliminó en PHP 6.

Ejemplo 1: el siguiente código es vulnerable a los scripts entre sitios. El programador asume que el valor de $username se origina desde la sesión controlada por el servidor, pero un atacante puede suministrar un valor malintencionado para $username como un parámetro de solicitud. Con register_globals activado, este código incluirá un valor malintencionado enviado por un atacante en el contenido HTML dinámico que genere.

<?php
if (isset($username)) {
    echo "Hello <b>$username</b>";
} else {
    echo "Hello <b>Guest</b><br />";
    echo "Would you like to login?";

}
?>