PHP ：为什么您应该立即禁用它以及如何禁用它

在PHP中，是一个非常常见的配置选项，它可以让您在脚本中使用全局变量而不需要显式地声明它们。然而，这样做可能会在安全性方面带来很大的问题。在本文中，我们将探讨这些问题以及如何禁用。

什么是？

是PHP配置文件的一个选项。当启用时，它将所有的GET、POST和变量自动转换为全局变量。这意味着在您的脚本中，您可以像使用任何其他全局变量一样使用这些变量，而无需在代码中显式地定义它们。

为什么是个问题？

可能会对应用程序的安全性产生负面影响。这是由于以下原因：

1. 变量重写：

启用意味着所有的GET、POST和变量都将转换为全局变量。这意味着如果意外地声明了与其名称相同的变量，则可能会导致变量被重写。这可能会导致测试和调试时产生令人困惑的行为，也可能会产生潜在的安全问题。

2. SQL注入攻击：

由于将所有变量都转换为全局变量，所以您可能会意外地在您的代码中使用用户提供的变量。如果未正确过滤或转义这些变量，则可能被用于执行SQL注入攻击。这可能会导致您的数据库被攻击者窃取或破坏。

3. 跨站点脚本攻击（XSS）：

类似地，由于将所有变量都转换为全局变量，攻击者可能会利用这些变量执行跨站点脚本攻击。这使得攻击者可以在用户的浏览器上执行任意代码，并可能利用这些代码窃取用户的敏感信息。

禁用：

由于可能会导致安全方面的问题，我们强烈建议您在生产环境中禁用它。禁用并不难，只需要将它从PHP配置文件中删除即可。

下面是一个简单的方法来禁用：

1. 打开您的PHP配置文件。这通常位于/etc/php.ini。

2. 找到以下行：

= On

3. 将其修改为：

= Off

4. 保存并关闭文件。

5. 重启Web服务器以使更改生效。

请注意，禁用可能会对您的应用程序产生影响。如果您的应用程序依赖于它，请确保在禁用之前进行充分的测试。

结论：

可能会带来严重的安全问题，因此我们建议您在生产环境中禁用它。我们也要提醒您，在将禁用之前，请确保进行充分的测试，以确保您的应用程序没有依赖它。

最后，我们要提醒您，在编写PHP代码时，请永远不要信任用户提供的任何输入。始终对输入进行过滤和转义，以确保您的应用程序不易受到攻击。