Globals

Спасибо, а каким образом они доступны взломщику?

о, сенк. то, что надо

Основная опасность в них в том что их можно инициализировать из вне.

Кроме того, на некоторых серверах приортитет отдается переменным полученным POST методом, на некоторых GET, а на некоторых системных.

Вопрос, что будет в переменной DOCUMENT_ROOT если POST методом отправить DOCUMENT_ROOT=test и при этом-же GET методом отправить DOCUMENT_ROOT=notest ???

Майк, а есть ли опасность в использовании переменной $_SERVER['HTTP_REFERER'] без проверки содержимого?

Проверять нужно все входящие данные какие юзер могёт ввести сам. Referrer обычно посылает браузер, а не юзер. Но хаксор или просто вредитель это уже не юзер, и цель их одна - нагадить на твоем ресурсе, а значит что-то где-то они будут пробивать у тебя тельнетом или еще какой консолькой, тузлой и т.п. Следовательно любой http-шный заголовок в запросе может быть с подманкой. Не интересовался никогда, какой веб-сервер как эти дела фильтрует, если фильтрует вообще, незнаю, но все-равно очень сомневаюсь.

По поводу глобалзов, эт конечно стремная штука. Хотя в любом случае globals юзабельно, если все используемые переменные предварительно инициализировать какими-нить стартовыми значениями или unset'ать и не юзать хостинги с абсурдными порядками инициализации супер-глобалов. Большинство дыр в свободных форумах, движках вообще и т.п. кстати начинаются именно с глобалзов;) Недавно глядел баг-лист phpbb и где-то на 2.x версии у них была пофикшена уязвимость, то ли инжект, то ли еще как, не важно. Минут 10 пристально глядел на каких-то 4 строки кода пытаясь найти где же там этот баг;) Все-таки лучше без глобалзов :D