FAQ

Explications

Les variables (super-)globales sont des variables qui existent, en marge des scripts PHP, comme les tableaux $_GET, $_POST, $_COOKIE, $_SESSION... Ces variables contiennent des données externes aux scripts, mais importantes pour leur fonctionnement. En effet, elles servent à récupérer des informations, qui deviennent utilisables dans le code php.

L´option de configuration register_globals a longtemps été à "on", comme le demandent par exemple les sites osCommerce. Cependant, pour des raisons de sécurité évidentes, il est fortement conseillé, pour la sécurité des sites, de la maintenir à "off". Le fait que cette directive soit à "on" implique que les variables qui sont définies dans les tableaux précédemment cités, soient déclarées localement.

Exemple : une variable $_POST[´ma_variable´] contient des données. Avec register_globals=on, $ma_variable contient les mêmes données. Avec register_globals=off, $ma_variable n´est pas définie en début de script.

Le problème se pose pour des variables globales, issues de différents tableaux, mais portant le même nom de clef.

Exemple : si $_POST[´ma_variable´] et $_GET[´ma_variable´] contiennent des données différentes, avec register_globals=on, nous ne pouvons pas savoir ce que contiendra , puisqu´en théorie, elle contient les données de l´une et de l´autre variable globale. Concrètement, elle n´en contiendra qu´une, mais on ne peut savoir laquelle.

C´est pourquoi, il est fortement déconseillé d´utiliser les variables globales définies localement, mais de toujours appeler les données par le nom réel de la variable que l´on souhaite utiliser.

Exemple : si l´on souhaite récupérer le contenu de la variable ´ma_variable´ envoyée par méthode post depuis un formulaire, on utilisera $_POST[´ma_variable´] plutot que $ma_variable, car nous connaissons de manière exacte la provenance des données ainsi récupérées.

Si malgré tout vous souhaitez utiliser les variables globales, mais que la configuration du serveur ne vous permet de pas de le faire, vous pouvez malgré tout utiliser une boucle qui va collecter les données des variables globales et les redéfinir localement. Pour cela, placez cet exemple de code en haut de chacun de vos scripts. C´est exemple est fourni sans garantie de compatibilité avec vos scripts, et nous ne pourrons être tenus pour responsable des utilisations frauduleuses qu´il pourrait en résulter, conformément aux explications fournies précédemment.

Cette boucle récupère tous les éléments de $_POST et recrée les variables portant le nom de la clé ($cle) avec la valeur $valeur, en s´assurant que la variable n´est pas déja définie.

Compléments d´informations sur les variables super-globales (www.php.net)

Créer un fichier php.ini dans  le répertoire du script :

Sur nos serveurs, il vous est possible de surpasser les paramètres PHP par défaut en créant un fichier "php.ini". Le contenu pour la réglage des variables globales est le suivant :

php_flag register_globals off

Cet exemple va vous permettre de désactiver le paramètre register_globals.

Boutiques osCommerce :

Il existe un patch correctif pour le problème du register_globals à off, pour les version MS 2.2 Vous pourrez télécharger ce patch ici .