Sicheres PHP
Re: Sicheres PHP
Doch, z.B. bei Dateiuploads.
Früher (wenn man das als 17 (! ^^)-jähriger sagen darf ^^) haben viele Dateiuploader nur nach der Dateiendung geguckt. Dann konnte man z.B. "test.php%00.jpg" hochladen, PHP-prüft die Endung, alles okay, wir gespeichert, doch der Unixserver schneidet alles nach %00 ab, und zack hat man seine PHP-Datei ausführbar auf dem Server. Das waren noch Zeiten... ^^
Bei cloidnerux klappt das allerdings nicht
Hat aber nichtmehr viel mit dem Thema zutun merk ich gerade...einigen wir uns darauf, dass man Passwörter mindestens mit md5 und am besten mit cyrpt und salt verschlüsseln sollte, keine wichtigen Daten in Cookies speichern, und am besten bei der Registrierung der User diese auf evt. unsichere Passwörter hinweisen.
Und zwar nicht wie JoinR
Früher (wenn man das als 17 (! ^^)-jähriger sagen darf ^^) haben viele Dateiuploader nur nach der Dateiendung geguckt. Dann konnte man z.B. "test.php%00.jpg" hochladen, PHP-prüft die Endung, alles okay, wir gespeichert, doch der Unixserver schneidet alles nach %00 ab, und zack hat man seine PHP-Datei ausführbar auf dem Server. Das waren noch Zeiten... ^^
Bei cloidnerux klappt das allerdings nicht
Hat aber nichtmehr viel mit dem Thema zutun merk ich gerade...einigen wir uns darauf, dass man Passwörter mindestens mit md5 und am besten mit cyrpt und salt verschlüsseln sollte, keine wichtigen Daten in Cookies speichern, und am besten bei der Registrierung der User diese auf evt. unsichere Passwörter hinweisen.
Und zwar nicht wie JoinR
Re: Sicheres PHP
PHP ist Mist. Ich war mal PHP-Entwickler und Spreche aus Erfahrung. Jeder der in PHP entwickelt oder entwickeln will, sollte sich das hier mal durchlesen:
PHP, Broken by Design
Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.
PHP, Broken by Design
Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.
Re: Sicheres PHP
hallo whitenexx
ich glaube hier sprechen einige aus Erfahrung, wohl auch größerer als deine.
Jeder weis heir wohl die Vor- Nachteile, und jeder entscheidet für sich was er richtig hält und wie er es machen möchte.
Bitte nächstmal anderes schreiben... schreibst ja noch "unerzogener" als ich;)
ich glaube hier sprechen einige aus Erfahrung, wohl auch größerer als deine.
Jeder weis heir wohl die Vor- Nachteile, und jeder entscheidet für sich was er richtig hält und wie er es machen möchte.
Bitte nächstmal anderes schreiben... schreibst ja noch "unerzogener" als ich;)
Rechtschreibefehler sind gewollt und dienen der Unterhaltung
- cloidnerux
- Moderator
- Beiträge: 3123
- Registriert: Fr Sep 26, 2008 4:37 pm
- Wohnort: Ram (Gibts wirklich)
Re: Sicheres PHP
Zum Thema "Sicheres PHP".
Heute einen Artikel in einr guten IT-Zeitschrift gelesen über PHPIDS, ein PHP lib womit man angriffsversuche in PHP scipts über XSS zu verhindern indem es SQL-Injektions und sontigen schadcode versucht zu filtern und zu umgehen.
http://php-ids.org/
Empfelenswert es sich mal anzuschauen.
Man muss erst warten bis sich die Javaengine läuft, das Porgramm geladen ist und man hat nciht mehr als mit PHP und DHTML.
Heute einen Artikel in einr guten IT-Zeitschrift gelesen über PHPIDS, ein PHP lib womit man angriffsversuche in PHP scipts über XSS zu verhindern indem es SQL-Injektions und sontigen schadcode versucht zu filtern und zu umgehen.
http://php-ids.org/
Empfelenswert es sich mal anzuschauen.
Wenn ich erlich sein sollte, finde ich Java noch schlimmer als PHP.Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.
Man muss erst warten bis sich die Javaengine läuft, das Porgramm geladen ist und man hat nciht mehr als mit PHP und DHTML.
Redundanz macht wiederholen unnötig.
quod erat expectandum
quod erat expectandum
Re: Sicheres PHP
wenn schon dann fast cgi mit c ^^ ^^
Rechtschreibefehler sind gewollt und dienen der Unterhaltung
Re: Sicheres PHP
Du scheinst ja nicht viel Ahnung von Java zu haben. Es ist wesentlich schneller und perfomanter als PHP. Bei jedem Seitenaufruf wird dein PHP Programm übersetzt und ausgeführt. Dies führt bei vielen Seitenaufrufen zu einer extrem hohen Serverlast. Ein Java Programm hast du einmal gestartet und in der Laufzeit. Nicht umsonst ist eBay auch in Java geschrieben. Von anderen großen Webseiten wollen wir erst garnicht sprechen.
Javaengine? Du meinst die jvm? Dir ist schon klar das du Java auf dem Desktop nicht mit J2EE vergleichen kannst? Du vergleichst Äpfel mit Birnen, Home mit Business.
Man schaue sich alleine das PHP gefrickel an. Kaum sauberer Code, Objektorientierung naja, dazugefrickelt, wiederverwendbarkeit = 0.
Mein Grails Programm:
Nachträglich super anpassbar, vollständig objektorientiert, wenig Entwicklungskosten, kürzere Entwicklungszeit, etablierte Frameworks (nicht so ein Mist wie ZEND ), sicher dank Java-Sicherheit, springsecurity, acegi and so on.
PHP ist bei Hobbyprogrammierern weit verbreitet, mehr aber auch nicht.
Ahja nochwas: Kannst du PHP anständig compillieren? Warum gibts bei PHP so einen scheiß wie safe_mode (wer die Vergangenheit kennt, weiß das es dazugefrickelt wurde)? Wieso ist PHP nicht Threadsafe? Warum hat man erst jetzt vor kurzem namespaces eingeführt und warum wieder nur so dazugefrickelt?
PS. Sowas wie phpids gibts schon lange, siehe cback CrackerTracker
Javaengine? Du meinst die jvm? Dir ist schon klar das du Java auf dem Desktop nicht mit J2EE vergleichen kannst? Du vergleichst Äpfel mit Birnen, Home mit Business.
Man schaue sich alleine das PHP gefrickel an. Kaum sauberer Code, Objektorientierung naja, dazugefrickelt, wiederverwendbarkeit = 0.
Mein Grails Programm:
Nachträglich super anpassbar, vollständig objektorientiert, wenig Entwicklungskosten, kürzere Entwicklungszeit, etablierte Frameworks (nicht so ein Mist wie ZEND ), sicher dank Java-Sicherheit, springsecurity, acegi and so on.
PHP ist bei Hobbyprogrammierern weit verbreitet, mehr aber auch nicht.
Ahja nochwas: Kannst du PHP anständig compillieren? Warum gibts bei PHP so einen scheiß wie safe_mode (wer die Vergangenheit kennt, weiß das es dazugefrickelt wurde)? Wieso ist PHP nicht Threadsafe? Warum hat man erst jetzt vor kurzem namespaces eingeführt und warum wieder nur so dazugefrickelt?
PS. Sowas wie phpids gibts schon lange, siehe cback CrackerTracker
Re: Sicheres PHP
Nicht jeder legt so viel auf Geschwindikeit
In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Daas PHP safemod nicht gut ist wissen wir, nun ja "dann dring halt mal in ein gute geschriebenes php programm ein"
In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Daas PHP safemod nicht gut ist wissen wir, nun ja "dann dring halt mal in ein gute geschriebenes php programm ein"
Rechtschreibefehler sind gewollt und dienen der Unterhaltung
Re: Sicheres PHP
Ja das hängt vom Anwendungsfall ab, vorallem vom Webserver der eingesetzt wird.In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Aber trotzdem ist Java schneller. Java ist fast so schnell wie C++, laut Alioth und durch diverse Benchmarks bestätigt:
http://shootout.alioth.debian.org/
Ihr habt alle noch das alte "Java-Applet" im Kopf. Das ist falsch.
Zitat aus einem Developer-Forum:
PHP wird immer wieder interpretiert. Java einmal in bytecode kompiliert (Geschwindigkeitsplus 1) und der Server bietet es dann (sofern einmal dann in native kompiliert) auch beim nächsten mal direkt in native an (Geschwindigkeitsplus 2).
Re: Sicheres PHP
Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist
Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme
Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)
Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme
Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)
Rechtschreibefehler sind gewollt und dienen der Unterhaltung
Re: Sicheres PHP
In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java
Merkst du was?Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist
Stimmt.Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme
Mag sein, hab ich ja auch nicht angezweifelt, ich selbst hatte mal sehr große PHP-Projekte in meiner PHP-Zeit. Lust ist nur, dass sehr viele große Unternehmen irgendwann alle auf Java oder Alternativen (.NET usw.) umschweifen...Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)