El problema de tener register_globals activado es que es bastante sencillo falsear una variable de sesión, o que va por Post...

Ese problema se elimina quitando esa directiva. Pero sigue imperando la regla de oro con las variables que se recojan en un script (POST, GET, etc...): hay que validarlo todo! si es un número, hay que asegurarse que es un número, si es un mail hay que validar que sea un mail y si se va a usar en una consulta a una BDD hay que escapar la cadena para evitar la inyección de SQL.