register_globals オプションが有効に設定されていると、PHP によってすべての EGPCS (環境、GET、POST、cookie、サーバー) 変数がグローバルに登録されるため、任意の PHP プログラムの任意のスコープにおいてこれらの変数にアクセスできます。このオプションを使用すると、プログラマは依存している値の出所を知らないままプログラムを記述してしまいやすくなります。その結果、悪意のない環境においては予期せぬ動作を引き起こす可能性があります。また、悪意のある環境においては攻撃者に攻撃の機会を与えてしまう可能性があります。register_globals がもたらす可能性のあるセキュリティ上の脅威を受け、このオプションは PHP 4.2.0 ではデフォルトで無効に設定されています。また、PHP 6 では廃止予定であるか削除済みです。

例 1: 次のコードは、クロスサイト スクリプト攻撃に対して脆弱です。プログラマは、$username の値はサーバーで制御されているセッションに由来していると想定しますが、攻撃者は代わりにリクエスト パラメーターとして $username に悪意ある値を指定できます。register_globals が有効に設定されている場合、攻撃者が送信した悪意ある値はこのコードによって生成された動的な HTML コンテンツに含められます。

<?php
if (isset($username)) {
    echo "Hello <b>$username</b>";
} else {
    echo "Hello <b>Guest</b><br />";
    echo "Would you like to login?";

}
?>

既に初期化されている変数を上書き可能な関数があると、上書きされた変数に依存するコードの実行が攻撃者に制御される可能性があります。
変数を上書きできます。

例 1: 攻撃者が、ColdFusion コードの以下の部分にある varName に悪意ある値を指定した場合、SetVariable() の呼び出しにより、#first# を含む任意の変数が上書きされる可能性があります。この場合、JavaScript を含む悪意ある値によって #first# が上書きされると、プログラムは Cross-Site Scripting に対して脆弱となります。

<cfset first = "User">
<cfscript>
SetVariable(url.varName, url.varValue);
</cfscript>
<cfoutput>
#first#
</cfoutput>

現在のスコープ内で既に初期化されている変数を上書き可能な関数があると、上書きされた変数に依存するコードの実行が攻撃者に制御される可能性があります。
例 1: 攻撃者が、PHP コードの以下の部分にある str に悪意ある値を指定した場合、parse_str() の呼び出しにより、first を含む現在の範囲内の任意の変数が上書きされる可能性があります。この場合、JavaScript を含む悪意ある値によって first が上書きされると、プログラムは Cross-Site Scripting に対して脆弱となります。

<?php
    $first="User";
    ...
    $str =  $_SERVER['QUERY_STRING'];
    parse_str($str);
    echo $first;
?>

既に初期化されているグローバル変数を上書き可能な関数があると、上書きされた変数に依存するコードの実行が攻撃者に制御される可能性があります。
例 1: 攻撃者が、PHP コードの以下の部分にある str に悪意ある値を指定した場合、mb_parse_str() の呼び出しにより、first を含む任意の変数が上書きされる可能性があります。この場合、JavaScript を含む悪意ある値によって first が上書きされると、プログラムは Cross-Site Scripting に対して脆弱となります。

<?php
    $first="User";
    ...
    $str =  $_SERVER['QUERY_STRING'];
    mb_parse_str($str);
    echo $first;
?>