Sicheres PHP

Fragen zum Thema HTML, JavaScript, PHP
Benutzeravatar
Dubbel
Beiträge: 197
Registriert: So Jul 06, 2008 6:25 pm
Wohnort: Kopenhagen
Kontaktdaten:

Re: Sicheres PHP

Beitrag von Dubbel » Sa Apr 18, 2009 5:40 pm

Doch, z.B. bei Dateiuploads.

Früher (wenn man das als 17 (! ^^)-jähriger sagen darf ^^) haben viele Dateiuploader nur nach der Dateiendung geguckt. Dann konnte man z.B. "test.php%00.jpg" hochladen, PHP-prüft die Endung, alles okay, wir gespeichert, doch der Unixserver schneidet alles nach %00 ab, und zack hat man seine PHP-Datei ausführbar auf dem Server. Das waren noch Zeiten... ^^
Bei cloidnerux klappt das allerdings nicht ;)

Hat aber nichtmehr viel mit dem Thema zutun merk ich gerade...einigen wir uns darauf, dass man Passwörter mindestens mit md5 und am besten mit cyrpt und salt verschlüsseln sollte, keine wichtigen Daten in Cookies speichern, und am besten bei der Registrierung der User diese auf evt. unsichere Passwörter hinweisen.

Und zwar nicht wie JoinR ;)

whitenexx
Beiträge: 19
Registriert: So Mai 03, 2009 11:40 pm
Wohnort: Leverkusen
Kontaktdaten:

Re: Sicheres PHP

Beitrag von whitenexx » Mo Mai 04, 2009 2:38 pm

PHP ist Mist. Ich war mal PHP-Entwickler und Spreche aus Erfahrung. Jeder der in PHP entwickelt oder entwickeln will, sollte sich das hier mal durchlesen:
PHP, Broken by Design

Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.

Dominik
Beiträge: 381
Registriert: Mo Jul 07, 2008 9:39 pm

Re: Sicheres PHP

Beitrag von Dominik » Mo Mai 04, 2009 4:44 pm

hallo whitenexx

ich glaube hier sprechen einige aus Erfahrung, wohl auch größerer als deine.

Jeder weis heir wohl die Vor- Nachteile, und jeder entscheidet für sich was er richtig hält und wie er es machen möchte.

Bitte nächstmal anderes schreiben... schreibst ja noch "unerzogener" als ich;)
Rechtschreibefehler sind gewollt und dienen der Unterhaltung

Benutzeravatar
cloidnerux
Moderator
Beiträge: 3123
Registriert: Fr Sep 26, 2008 4:37 pm
Wohnort: Ram (Gibts wirklich)

Re: Sicheres PHP

Beitrag von cloidnerux » Mo Mai 04, 2009 5:00 pm

Zum Thema "Sicheres PHP".
Heute einen Artikel in einr guten IT-Zeitschrift gelesen über PHPIDS, ein PHP lib womit man angriffsversuche in PHP scipts über XSS zu verhindern indem es SQL-Injektions und sontigen schadcode versucht zu filtern und zu umgehen.
http://php-ids.org/
Empfelenswert es sich mal anzuschauen.
Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.
Wenn ich erlich sein sollte, finde ich Java noch schlimmer als PHP.
Man muss erst warten bis sich die Javaengine läuft, das Porgramm geladen ist und man hat nciht mehr als mit PHP und DHTML.
Redundanz macht wiederholen unnötig.
quod erat expectandum

Dominik
Beiträge: 381
Registriert: Mo Jul 07, 2008 9:39 pm

Re: Sicheres PHP

Beitrag von Dominik » Mo Mai 04, 2009 5:11 pm

wenn schon dann fast cgi mit c ^^ ^^
Rechtschreibefehler sind gewollt und dienen der Unterhaltung

whitenexx
Beiträge: 19
Registriert: So Mai 03, 2009 11:40 pm
Wohnort: Leverkusen
Kontaktdaten:

Re: Sicheres PHP

Beitrag von whitenexx » Mo Mai 04, 2009 5:17 pm

Du scheinst ja nicht viel Ahnung von Java zu haben. Es ist wesentlich schneller und perfomanter als PHP. Bei jedem Seitenaufruf wird dein PHP Programm übersetzt und ausgeführt. Dies führt bei vielen Seitenaufrufen zu einer extrem hohen Serverlast. Ein Java Programm hast du einmal gestartet und in der Laufzeit. Nicht umsonst ist eBay auch in Java geschrieben. Von anderen großen Webseiten wollen wir erst garnicht sprechen. ;)
Javaengine? Du meinst die jvm? Dir ist schon klar das du Java auf dem Desktop nicht mit J2EE vergleichen kannst? Du vergleichst Äpfel mit Birnen, Home mit Business.

Man schaue sich alleine das PHP gefrickel an. Kaum sauberer Code, Objektorientierung naja, dazugefrickelt, wiederverwendbarkeit = 0.

Mein Grails Programm:
Nachträglich super anpassbar, vollständig objektorientiert, wenig Entwicklungskosten, kürzere Entwicklungszeit, etablierte Frameworks (nicht so ein Mist wie ZEND :D ), sicher dank Java-Sicherheit, springsecurity, acegi and so on.

PHP ist bei Hobbyprogrammierern weit verbreitet, mehr aber auch nicht.

Ahja nochwas: Kannst du PHP anständig compillieren? Warum gibts bei PHP so einen scheiß wie safe_mode (wer die Vergangenheit kennt, weiß das es dazugefrickelt wurde)? Wieso ist PHP nicht Threadsafe? Warum hat man erst jetzt vor kurzem namespaces eingeführt und warum wieder nur so dazugefrickelt?

PS. Sowas wie phpids gibts schon lange, siehe cback CrackerTracker ;)

Dominik
Beiträge: 381
Registriert: Mo Jul 07, 2008 9:39 pm

Re: Sicheres PHP

Beitrag von Dominik » Mo Mai 04, 2009 5:30 pm

Nicht jeder legt so viel auf Geschwindikeit

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java


Daas PHP safemod nicht gut ist wissen wir, nun ja "dann dring halt mal in ein gute geschriebenes php programm ein"
Rechtschreibefehler sind gewollt und dienen der Unterhaltung

whitenexx
Beiträge: 19
Registriert: So Mai 03, 2009 11:40 pm
Wohnort: Leverkusen
Kontaktdaten:

Re: Sicheres PHP

Beitrag von whitenexx » Mo Mai 04, 2009 5:42 pm

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Ja das hängt vom Anwendungsfall ab, vorallem vom Webserver der eingesetzt wird.
Aber trotzdem ist Java schneller. Java ist fast so schnell wie C++, laut Alioth und durch diverse Benchmarks bestätigt:
http://shootout.alioth.debian.org/

Ihr habt alle noch das alte "Java-Applet" im Kopf. Das ist falsch.

Zitat aus einem Developer-Forum:
PHP wird immer wieder interpretiert. Java einmal in bytecode kompiliert (Geschwindigkeitsplus 1) und der Server bietet es dann (sofern einmal dann in native kompiliert) auch beim nächsten mal direkt in native an (Geschwindigkeitsplus 2).

Dominik
Beiträge: 381
Registriert: Mo Jul 07, 2008 9:39 pm

Re: Sicheres PHP

Beitrag von Dominik » Mo Mai 04, 2009 5:45 pm

Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist

Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme

Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)
Rechtschreibefehler sind gewollt und dienen der Unterhaltung

whitenexx
Beiträge: 19
Registriert: So Mai 03, 2009 11:40 pm
Wohnort: Leverkusen
Kontaktdaten:

Re: Sicheres PHP

Beitrag von whitenexx » Mo Mai 04, 2009 5:49 pm

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist
Merkst du was?
Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme
Stimmt.
Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)
Mag sein, hab ich ja auch nicht angezweifelt, ich selbst hatte mal sehr große PHP-Projekte in meiner PHP-Zeit. Lust ist nur, dass sehr viele große Unternehmen irgendwann alle auf Java oder Alternativen (.NET usw.) umschweifen...

Antworten