很多网站为了方便，往往将一些常用的PHP代码放入一个专门的PHP文件中。其他PHP脚本通过对这个文件的包含来实现相应的功能。但是，由于在命名时往往也将被包含的PHP文件命名为.php形式，所以导致被包含的PHP文件也可以被用户在客户端直接执行。

这时，如果在被包含的PHP文件中含有一些未赋值的变量，register_globals参数的开启可能会导致很大的安全隐患，如以下代码所示。

<?php

include($file);

?>

这里，被包含的PHP文件中含有一个未赋值的$file参数，而脚本的操作是包含由$file指代的文件。这时如果用户通过浏览器直接访问这个文件并通过浏览器参数对$file进行赋值，就可以允许用户任意地浏览服务器上的任何文件了。