1. <?php 
2. $GLOBALS[‘host’] = 'localhost'; 
3. $GLOBALS[‘username’] = 'root'; 
4. $GLOBALS[‘password’] = ''; 
5. $GLOBALS[‘database’] = 'test'; 
6. ?> 

在db.php中有以下代码： 

1. <?php 
2. require_once 'config.php'; 
3. function db_connect() { 
4. $db=mysql_connect($GLOBALS['host'], $GLOBALS['username'], $GLOBALS['password']); 
5. mysql_select_db($GLOBALS['database'], $db); 
6. return $db; 
7. } 
8. ?> 

很明显加入上面的代码是在register globals设置为on的时候的话，看看有什么效果：

在浏览器中输入:http://********/index.php?GLOBALS=***那你上面的代码就执行错误了！因为$GLOBALS的数据已经修改了！当register globals设置为on的时候，?GLOBALS=***这样的形式会转换成$GLOBALS = ***的形式的！！所以非常危险。

虽然在这个例子中危害不大，但是在一些需要用到$GLOBALS全局变量的地方我们都应该检测register globals是否设置为on，可以用以下代码来检测一下

1. function wp_unregister_GLOBALS() { 
2. if ( !ini_get('register_globals') ) 
3. return; 
4. if ( isset($_REQUEST['GLOBALS']) ) 
5. die('GLOBALS overwrite attempt detected'); 
6. // Variables that shouldn't be unset 
7. $noUnset = array('GLOBALS', '_GET', '_POST', '_COOKIE', '_REQUEST', '_SERVER', '_ENV', '_FILES'); 
8. $input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array()); 
9. foreach ( $input as $k => $v ) 
10. if ( !in_array($k, $noUnset) && isset($GLOBALS[$k]) ) { 
11. $GLOBALS[$k] = NULL; 
12. unset($GLOBALS[$k]); 
13. } 
14. }