praticamente se la direttiva è ON il php "trasforma" le variabili globali in variabili normali

quindi $_SESSION['user'] è accessibile anche con $user
o $_POST['name'] con $name

è una delle famose falle di sicurezza del php...

leggiti qua
http://it.php.net/register_globals