register_globals: sono da evitare?

[JD82]

Leggendo sul forum NGI del Virtuo ho letto che molti sconsigliano l'utilizzo delle register_globals.
Volevo domandare a voi (oltre ad averlo già fatto in PM a chi ha detto di non usarle sul forum NGI) come mai è sconsigliato l'utilizzo, anche su un VPS dove è hostato solo il mio sito...

Sono davvero così pericolose pure su un Virtual Private Server? E come mai?

[Ste]

beh si anche se tu avessi un dedicato la situazione non cambia .....le register globals settate su on permettono il passaggio di valori GET che potrebbero bucare gli script....un esempio :

<?php
# "$ammesso = true" solo se l'utente si e' autenticato
if (autenticazione_user()) {
$ammesso = true;
}
if ($ammesso) {
include "paginasegreta.php";
}
?>

se avessi le register globals settate su ON sarebbe una cavolata bucare lo script, infatti se digito www.sito.boh/login.php?ammesso=true salterei di fatto l'autenticazione ! cosi rendo disponibile la variabile $ammesso mentre con settate a OFF avrei disponibile solo $_GET['ammesso'] ...spero di essermi spiegato
Per cui è fortemente sconsigliabile settarle su OFF, perchè uno si studia bene il tuo script e puo bucarlo molto facilmente

A proposito da poco ho visto un messaggio di qualcuno che parlava di oscommerce, che usa le register globals su ON .... fortunatamente anche li hanno pubblicato una patch

[JD82]

Eh, è vero che hanno pubblicato una patch, ma il mio sito fa ampio uso di contrib (delle "estensioni" di osCommerce), e non so se la patch sarà compatibile con tutte le contrib che ho installato.

Ora sto facendo un bel backup per provare ad installare la patch... spero in una bella botta di cu1o...

Grazie per l'info! Ti sei spiegato benissimo.