Se as variáveis que chegam por um formulário se declaram automaticamente na página, poderia ocorrer que um visitante "malandro" modificasse a mão a lista de variáveis passadas pela URL com intenção de criar alguma variável necessária para realizar algum tipo de ação, possivelmente não autorizada, em nosso website.
Não sei se a idéia fica clara, porém partindo do princípio de que nós estivéssemos utilizando uma variável de sessão, chamado autorizado e com valor “sim”, para saber se um usuário se autenticou corretamente, um possível atacante poderia introduzi-la através da URL.
www.seudominio.com/pagina.php?autorizado=sim
O tema é que, por motivos de segurança, se recomenda acessar a cada variável de servidor (Variáveis de sessão, de formulários, passadas na URL, etc.) indicando as vias pelas quais foi declarado, por exemplo:
HTTP_POST_VARS
<BR>
HTTP_GET_VARS
…
Embora a partir de determinada versão de PHP se pode acessar também pelas abreviações:
_GET
<BR>
_SESSION
<BR>
_COOKIE
<BR>
...
Por Miguel Angel Alvarez
