Zmienne globalne w PHP mogą być potencjalną luką, ponieważ często za ich pomocą (głównie przed PHP4) przekazywane były dane do skryptu.
Jeśli te zmienne nie były wcześniej inicjalizowane, to można było przekazać wartość znając nazwę zmiennej poprzez adres URL.
Można się przed tym zabezpieczyć modyfikując plik php.ini i przestawić konfigurację register_globals na OFF.
Jednak, czy nie mogąc zmodyfikować pliku na serwerze php.ini, można ustawić tę zmienną na OFF?