La directiva register_globals de PHP, que automáticamente generaba variables globales para datos de cookies y formularios, pasó de estar activada por defecto a estar desactivada en la versión 4.2.0, lo que modificó el comportamiento de cómo PHP manejaba las variables y mejoró la seguridad al evitar que scripts sean inyectados con variables no deseadas.

1. Quizás el cambio más controversial en la historia de PHP se ha dado cuando la directiva register_globals pasó de tener como valor por defecto ON al valor OFF en PHP » 4.2.0. La dependencia sobre esta directiva era bastante común y muchas personas ni siquiera estaban enteradas de que existía y asumían que ese era el modo en que PHP trabajaba.

2. La directiva register_global cuando esta activada , provoca que automáticamente se generen variables globales para cookies y valores enviados por get y post entre otros. Cuando está habilitada, las personas usan variables sin saber con seguridad de dónde provienen y solo queda asumir. Las variables internas que son definidas en el script mismo son mezcladas con los datos enviados por los usuarios y al deshabilitar register_globals se modifica este comportamiento.

3. Cuando se encuentra activa, la directiva register_globals inyectará sus scripts con todo tipo de variables, como variables de peticiones provenientes de formularios HTML. Esto junto con el hecho de que PHP no requiere la inicialización de variables significa que es muy fácil escribir código inseguro. Fue una decisión difícil, pero la comunidad de PHP decidió desabilitar esta directiva por defecto.