Si cambiamos la directiva a On, asumiremos que las variables son globales y pueden llegar por cualquier método (POST, GET, COOKIE, SERVER, etc). Así, por ejemplo, si utilizamos una variable global de sesión o cookie se puede suplantar fácilmente mediante una variable por url, con lo cual nuestro script no es seguro. Lo correcto sería llamar a las variables por los arrays $HTTP_POST_VARS, $HTTP_GET_VARS, etc. o mejor aún por los arrays superglobales $_POST, $_GET, etc (disponibles a partir de la versión 4.1.x de PHP); si a esto añadimos que nuestro register_globals está a Off, el script será todavía más seguro. Además, con los arrays superglobales puedes trabajar con register_globals a On u Off sin problemas. En un futuro el PHP tendrá la directiva en Off y no podrá cambiarse, por lo que es mejor acostumbrarse a tenerla en Off y usar los arrays superglobales (repito que están a partir de la versión 4.1.x de PHP).