<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML
><HEAD
><TITLE
>Usando a diretiva Register Globals</TITLE
><META
NAME="GENERATOR"
CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK
REL="HOME"
TITLE="Manual do PHP"
HREF="index.html"><LINK
REL="UP"
TITLE="Segurança"
HREF="security.html"><LINK
REL="PREVIOUS"
TITLE="Relatando Erros"
HREF="security.errors.html"><LINK
REL="NEXT"
TITLE="Dados Enviados pelo Usuário"
HREF="security.variables.html"><META
HTTP-EQUIV="Content-type"
CONTENT="text/html; charset=UTF-8"></HEAD
><BODY
CLASS="chapter"
BGCOLOR="#FFFFFF"
TEXT="#000000"
LINK="#0000FF"
VLINK="#840084"
ALINK="#0000FF"
><DIV
CLASS="NAVHEADER"
><TABLE
SUMMARY="Header navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TH
COLSPAN="3"
ALIGN="center"
>Manual do PHP</TH
></TR
><TR
><TD
WIDTH="10%"
ALIGN="left"
VALIGN="bottom"
><A
HREF="security.errors.html"
ACCESSKEY="P"
>Anterior</A
></TD
><TD
WIDTH="80%"
ALIGN="center"
VALIGN="bottom"
></TD
><TD
WIDTH="10%"
ALIGN="right"
VALIGN="bottom"
><A
HREF="security.variables.html"
ACCESSKEY="N"
>Próxima</A
></TD
></TR
></TABLE
><HR
ALIGN="LEFT"
WIDTH="100%"></DIV
><DIV
CLASS="chapter"
><H1
><A
NAME="security.globals"
>Capítulo 29. Usando a diretiva Register Globals</A
></H1
><P
> Talvez a mudança mais controversa no PHP foi quando o valor padrão da
diretiva do PHP <A
HREF="ini.core.html#ini.register-globals"
> register_globals</A
> passou de ON (Ligado) para OFF (Desligado) na versão
<A
HREF="http://www.php.net/releases/4_2_0.php"
TARGET="_top"
>4.2.0</A
>. Era muito comum as
pessoas dependerem da diretiva e muitas delas nem sabiam que ela existia
e presumiam que era a maneira como o PHP funcionava. Essa página explica como
alguém pode escrever código inseguro com essa diretiva, mas tenha em mente que
a diretiva em si não é insegura, o uso incorreto dela é que é.
</P
><P
> Quando ligada, a diretiva register_globals criará para seus scripts vários
tipos de variáveis, como as variáveis oriundas de formulários HTML. Isso,
combinado com o fato de que o PHP não requer inicialização de variáveis,
significa que é mais fácil escrever código inseguro. Foi uma decisão
difícil, mas a comunidade do PHP decidiu que, por padrão, essa diretiva
deveria ser desabilitada. Quando habilitada, é possível usar variáveis sem saber ao
certo de onde elas vieram. Variáveis internas que são definidas no script em si
se misturam com dados enviados pelos usuários e
desabilitando a diretiva muda isso. Vamos demonstrar
um exemplo de uso incorreto de register_globals:
</P
><P
> <TABLE
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
CLASS="EXAMPLE"
><TR
><TD
><DIV
CLASS="example"
><A
NAME="AEN6588"
></A
><P
><B
>Exemplo 29-1. Exemplo de uso incorreto de register_globals = on</B
></P
><TABLE
BORDER="0"
BGCOLOR="#E0E0E0"
CELLPADDING="5"
><TR
><TD
><code><font color="#000000">
<font color="#0000BB"><?php<br /></font><font color="#FF8000">// define $authorized = true somente se o usuário for autenticado<br /></font><font color="#007700">if (</font><font color="#0000BB">authenticated_user</font><font color="#007700">()) {<br /> </font><font color="#0000BB">$authorized </font><font color="#007700">= </font><font color="#0000BB">true</font><font color="#007700">;<br />}<br /></font><font color="#FF8000">// Porque nós não inicializamos $authorized como false, ela pode ser<br />// definida através de register_globals, como usando GET auth.php?authorized=1<br />// Dessa maneira, qualquer um pode ser visto como autenticado!<br /></font><font color="#007700">if (</font><font color="#0000BB">$authorized</font><font color="#007700">) {<br /> include </font><font color="#DD0000">"/highly/sensitive/data.php"</font><font color="#007700">;<br />}<br /></font><font color="#0000BB">?></font>
</font>
</code></TD
></TR
></TABLE
></DIV
></TD
></TR
></TABLE
>
</P
><P
> Quando register_globals estiver habilitada, sua lógica pode ser comprometida. Quando
desligada <CODE
CLASS="varname"
>$authorized</CODE
> não pode ser configurada via GET, então
estará correto, embora geralmente seja uma boa prática de programação
inicializar as variáveis primeiro. Por exemplo, no nosso exemplo acima nós podemos
executar primeiro <TT
CLASS="literal"
>$authorized = false</TT
>. Dessa forma
o código funcionaria com register_globals ligada ou desligada, já que
os usuário não seriam autorizados a não ser que a autenticação tenha sucesso.
</P
><P
> Outro exemplo é o quando usando <A
HREF="ref.session.html"
>sessions</A
>.
Quando a diretiva está ligada, nós também podemos usar
<CODE
CLASS="varname"
>$username</CODE
> no exemplo mas novamente é preciso
perceber que <CODE
CLASS="varname"
>$username</CODE
> também pode vir de outro lugar,
como via GET (através da URL).
</P
><P
> <TABLE
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
CLASS="EXAMPLE"
><TR
><TD
><DIV
CLASS="example"
><A
NAME="AEN6599"
></A
><P
><B
>Exemplo 29-2. Exemplo de uso de sessões com register_globals ligada ou desligada</B
></P
><TABLE
BORDER="0"
BGCOLOR="#E0E0E0"
CELLPADDING="5"
><TR
><TD
><code><font color="#000000">
<font color="#0000BB"><?php<br /></font><font color="#FF8000">// Nós não saberiamos de onde $username veio mas sabemos que $_SESSION<br />// guarda dados da sessão.<br /></font><font color="#007700">if (isset(</font><font color="#0000BB">$_SESSION</font><font color="#007700">[</font><font color="#DD0000">'username'</font><font color="#007700">])) {<br /><br /> echo </font><font color="#DD0000">"Hello <b></font><font color="#007700">{</font><font color="#DD0000">$_SESSION</font><font color="#007700">[</font><font color="#DD0000">'username'</font><font color="#007700">]}</font><font color="#DD0000"></b>"</font><font color="#007700">;<br /><br />} else {<br /><br /> echo </font><font color="#DD0000">"Hello <b>Guest</b><br />"</font><font color="#007700">;<br /> echo </font><font color="#DD0000">"Would you like to login?"</font><font color="#007700">;<br /><br />}<br /></font><font color="#0000BB">?></font>
</font>
</code></TD
></TR
></TABLE
></DIV
></TD
></TR
></TABLE
>
</P
><P
> Além disso tudo, é possível tomar medidas preventivas para avisar quando alguém
está tentando criação de variáveis falsas. Se você sabe de antemão de onde uma
variável deve vir, você pode verificar se os dados enviados estão
chegando de maneira incorreta. Embora isso não seja garantia
de que os dados não são forjados, torna necessário ao atacante
adivinhar o tipo certo de falsificação. Se você não se importar de onde os
dados vierão, você pode usar o array <CODE
CLASS="varname"
>$_REQUEST</CODE
>, que
contêm a mistura dos dados de GET, POST e COOKIE. Veja também a seção do manual
sobre como usar <A
HREF="language.variables.external.html"
>variáveis de fora
do PHP</A
>.
</P
><P
> <TABLE
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
CLASS="EXAMPLE"
><TR
><TD
><DIV
CLASS="example"
><A
NAME="AEN6606"
></A
><P
><B
>Exemplo 29-3. Detecção simples de falsificação de variáveis</B
></P
><TABLE
BORDER="0"
BGCOLOR="#E0E0E0"
CELLPADDING="5"
><TR
><TD
><code><font color="#000000">
<font color="#0000BB"><?php<br /></font><font color="#007700">if (isset(</font><font color="#0000BB">$_COOKIE</font><font color="#007700">[</font><font color="#DD0000">'MAGIC_COOKIE'</font><font color="#007700">])) {<br /><br /> </font><font color="#FF8000">// MAGIC_COOKIE vem de um cookie.<br /> // Valide os dados do cookie!<br /><br /></font><font color="#007700">} elseif (isset(</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'MAGIC_COOKIE'</font><font color="#007700">]) || isset(</font><font color="#0000BB">$_POST</font><font color="#007700">[</font><font color="#DD0000">'MAGIC_COOKIE'</font><font color="#007700">])) {<br /><br /> </font><font color="#0000BB">mail</font><font color="#007700">(</font><font color="#DD0000">"admin@example.com"</font><font color="#007700">, </font><font color="#DD0000">"Possível tentativa de ataque"</font><font color="#007700">, </font><font color="#0000BB">$_SERVER</font><font color="#007700">[</font><font color="#DD0000">'REMOTE_ADDR'</font><font color="#007700">]);<br /> echo </font><font color="#DD0000">"Violação de Segurança, o Administrador foi alertado."</font><font color="#007700">;<br /> exit;<br /><br />} else {<br /><br /> </font><font color="#FF8000">// MAGIC_COOKIE não foi criada por essa REQUEST<br /><br /></font><font color="#007700">}<br /></font><font color="#0000BB">?></font>
</font>
</code></TD
></TR
></TABLE
></DIV
></TD
></TR
></TABLE
>
</P
><P
> É óbvio que só desligar register_globals não significa que seu código
está seguro. Cada dado que é enviado deve ser validado de
outras maneiras. Sempre valide os dados enviados pelos usuário e inicialize
suas variáveis! Para checar por variáveis não inicializadas, você pode configurar
<A
HREF="function.error-reporting.html"
><B
CLASS="function"
>error_reporting()</B
></A
> para mostrar erros do nível
<TT
CLASS="constant"
><B
>E_NOTICE</B
></TT
>.
</P
><P
> Para mais informações sobre emulação de register_globals como ligada ou desligada, veja esse <A
HREF="faq.misc.html#faq.misc.registerglobals"
>FAQ</A
>.
</P
><DIV
CLASS="note"
><BLOCKQUOTE
CLASS="note"
><P
><B
>Disponibilidade das superglobais:: </B
>Desde o PHP 4.1.0, os arrays superglobais como <CODE
CLASS="varname"
>$_GET
</CODE
>, <CODE
CLASS="varname"
>$_POST</CODE
>, <CODE
CLASS="varname"
>$_SERVER</CODE
>,
etc. sempre estão carregados. Para mais informações, leia a seção do manual
sobre <A
HREF="language.variables.predefined.html"
>superglobals</A
></P
></BLOCKQUOTE
></DIV
></DIV
><DIV
CLASS="NAVFOOTER"
><HR
ALIGN="LEFT"
WIDTH="100%"><TABLE
SUMMARY="Footer navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
><A
HREF="security.errors.html"
ACCESSKEY="P"
>Anterior</A
></TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="index.html"
ACCESSKEY="H"
>Principal</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
><A
HREF="security.variables.html"
ACCESSKEY="N"
>Próxima</A
></TD
></TR
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
>Relatando Erros</TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="security.html"
ACCESSKEY="U"
>Acima</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
>Dados Enviados pelo Usuário</TD
></TR
></TABLE
></DIV
></BODY
></HTML
>
