Coding

Ich kann jedem an Sicherheit interessierten nur das Buch "PHP-Sicherheit" - nun in der 3. Auflage erhältlich ist - empfehlen. Durch die Lektüre dieses Buches kann man bereits überdurchschnittliche Kenntnisse im Bereich Sicherheit von PHP erwerben. Allerdings habe ich in dem Buch keine Lösung für folgendes Standard-Sicherheitsproblem gefunden:

Man will Dateien nur innerhalb eines geschützten Bereiches zum Download anbieten. Jemand, der sich nicht eingeloggt hat und dessen Überprüfung nicht erfolgreich war, soll diese Dateien nicht herunterladen dürfen.

Die klassische, bis beschämende Sicherheitslücke ist dann da, wenn ein "Angreifer", der die URLs dieser zum Download angeboten Dateien kennt, diese durch direkte Eingabe der URL in seinem Browser, herunter laden kann. Also wenn man direkt per URL,-Angabe im Browser sämtliche Sicherheitsmaßnahmen umgehen kann.

Wie verhindert man nun so eine Sicherheitslücke?

"Anhang zum Buch "PHP-Sicherheit"" vollständig lesen

Geschrieben von gabriele-mohl

Hallo Mit-PHP'ler

Ich habe ein Problem mit meiner WebApp und ich hätte gerne ein paar Tips von euch. Es kommt ja vor dass so DAU's auf der Webseit einfach so aus Spaß die Fignern icht von eienr Taste lassen können und einem tonnenweise un-umbrechbaren Text reinknallen (200 Zeichen lang nur 'm').

Meine erste Lösung war: JS-Version von wordwrap auf alle Felder jagen wo das passieren kann (es lebe das PHP.JS Projekt). 3 Zeilen jQuery später und ein paar Kilobyte reicher ging das alles super.

Das große ABER: das Zeug taucht nun auf einmal nicht nur auf einer Seite auf sondern überall UND ich will den HTML-Code eigentlich als Grundlage zum PDF generieren verwenden (mein Tip hier: TcPDF auf basis von FPDF), insofern scheidet (speziell wg. letztem Punkt) die JS-Lösung aus.

"Wordwrap.." vollständig lesen

Geschrieben von Michael *Byte* Haszprunar

Sehr empfehlenswert, das illustrierte Rubytutorial (Quickstart) von Poignant als Onlineversion.

Bitte kombinieren mit der Interactive Ruby Shell, einer Online Version des Ruby Interpreters zu
schnellen Testen von Codeschnipseln.

Geschrieben von Nils Hitze

Real Time Shared Editing, das ist collaborative Working am selben File zur gleichen Zeit auf unterschiedlichen Rechnern. Etwas das mir, gerade bei Ferndiagnostik, schon lange gefehlt hat. Ich hab das Plugin leider noch nicht zum laufen gebracht, aber der Entwickler scheint in München zu arbeiten, die Chancen auf Support sind also gut. Das ganze läuft als Eclipseplugin. Mehr dazu findet ihr zusammen mit einigen Screencasts auf Mustafas Blog

Geschrieben von Nils Hitze

mysql_real_escape_string() ist eine nützliche Funktion und man nutzt die ganz intuitiv und ohne gross darüber nachzudenken in allen möglichen Skripten. Eigentlich ist die Funktion da um den Code vor Injections zu schützen (dafür aber nicht nur auf mysql_real_escape_string verlassen bitte). Jedenfalls sollte sie dass sein, aber als ich vorhin den grossen Teil meines Codes auf unsere MSSQL DB umgestellt habe, ist mir die Funktion um die Ohren geflogen.

Warum?

Weil ich keine einzige mysql Verbindung mehr geöffnet hatte und mysql_real_escape_string eine geöffnete Verbindung zum Server braucht.

So und ihr macht jetzt bitte nicht den gleichen Fehler, ok?

Geschrieben von Nils Hitze