PHP

Unter www.php-security.org auf Englisch - genauer und ausführlicher - und auf Deutsch unter www.php-sicherheit.de wird u.a. von der Sektion Eins zum Monat der PHP-Sicherheit aufgerufen. Konkret wird um folgende Einsendungen gebeten:

• Neue Lücke in PHP selber, inkl. Lösungsvorschlag an die Entwickler
• Neue Lücke in beliebter PHP-Extension etc. (also z.B. in eAccelerator, APC oder Suhosin ;-) )
• Detaillierter Artikel zu einem Aspekt von PHP-Sicherheit
• "Komplizierter" Exploit gegen eine bekannte PHP-Anwendung
• "Komplizierter" theoretischer Artikel über Angriffe gegen PHP (Beispiel: wie erzeugt man Heap Overflows)
• Anleitung zum Angriff gegen verschlüsselte PHP-Anwendungen
• Veröffentlichung eines neuen PHP Security Werkzeugs
• Oder irgendwas anderes, was mit PHP Security zu tun hat

Gute Artikel oder Beiträge werden dann auf php-security veröffentlicht und es gibt Preise, die von 1000 € und einem Syscan-Ticket und einer Code Scan PHP Lizenz für den Besten bis hinunter zu 50,- oder 25,- € Amazon-Gutscheinen reichen.

Der Ehrlichkeit halber möchte ich darauf hinweisen, dass ich mich mit diesem Beitrag für einen möglichen Gewinn von einem 25,- € Amazon-Gutschein qualifizieren kann.

Trotzdem hoffe ich, dass dieser Beitrag von Interesse ist. Wegen dem möglichen Gewinn von 25,- € habe ich diesen Beitrag nicht geschrieben, sondern weil ich denke, dass diese Meldung von Wichtigkeit ist.

Frohe Ostern!

Posted by gabriele-mohl

Ich bin bei einem Portal das ich programmiert habe über eine ziemlich fiese Sache gestolpert die ich euch nicht vorenthalten will. Im Prinzip geht es um ein Eingabefeld das ein Datum im Format "Monat/Jahr" (m/Y) erwartet.

Da ich schon ein paar Teiel vom Zend Framework verwendet habe wollte ich hier mal die geniale Funktion "isDate()" verwenden, die verspricht einen String gegen einen gegebenen Formatstring zu prüfen. In meinen Ohren klang das wie "Regex für Datum" und ich bin mir sicher ich bin nicht der Einzige dem das so geht.

Mein Formatstring war also "MM/yyyy", so wie es das ZF-Manual angibt. Es klappte zunächst auch wunderbar, denn "1/2009" wurde genau schön als true validiert wie "12/2009". Die Positives funktionierten also schonmal.

Aber das Problem ist: isDate() arbeitet nicht wie ein Regex. Es versucht nämlich - wie Excel auch - den Anwender zu bevormunden und irgendwie ein gültiges Datum zu erkennen. Das ist nicht nur nervig, es macht damit den Sinn des Ganzen zunichte. So wird ein String wie "03.2009" auch als true erkannt, obwohl in meiner Formatvorgabe ganz klar ein Slash drinsteht. Noch viel schlimmer ist dass total unsinniges Zeug auch als true validiert.

Ein Beispiel [1]:
isDate('1111','dd.MM.yyyy') ==> true WTF?
Hintergrund hier ist dass Zend_Date das so liest:
1111 -> 1.1.11 -> 01. Jan.2011 -> true

Erinnert wie gesagt stark an Excel wo genau dieses Verhalten auch jeden nervt weil es einfach nicht das tut was man dem Ding sagt sondern es tut das was es meint das man wollte. Es gibt echt nix Schlimmeres als Doftware die versucht intelligent zu sein statt einfach nur so zu funktionieren wie es sollte.

Spätestens mit dem letzten Beispiel hat isDate() für mich jeglichen Nutzen verloren. Aus dem "super, ich hab eine einfache Regex für Datumseingaben gefunden" wurde ein "verdammter Dreck, der macht ja alles falsch. Muss ich wohl doch selbst schreiben". Darüber hinaus wird isDate() auch bei Zend_Form_Validator_Date verwendet, also passt auf wenn ihr das verwendet, es kommt auch lauter komisches Zeug als true durch...

Byte gefrustet vom ZF

[1] nachzulesen ist das hier: Zend Bug #7583

Posted by Michael *Byte* Haszprunar

Defined tags for this entry: bug, coding, fehler, php, zend framework

Durch einen Eintrag von Dynamic Webpages bin ich auf den Tiobe Software Index gestoßen. In diesem Software Index wird mittels Suchmaschinenanfragen ermittelt, wie viele ausgebildete Software-Ingenieure, Kurse und "third party vendors" (=Drittmittelverkäufer?) es weltweit in der jeweiligen Sprache gibt.

Der absolute Gigant ist Java mit einem Anteil von 19%, danach C mit 17%. An dritter Stelle (seit September 2009) nun PHP mit ca. 10%, knapp vor C++.

Posted by gabriele-mohl

Defined tags for this entry: coding, developer, development, entwickler, entwicklung, PHP

Posted by Nils Hitze

Defined tags for this entry: debug, debugging, php, video

Alle PHP Nutzer sind eingeladen am PHP TestFest 2009 teilzunehmen. Was soll auf einem TestFest geschehen? Lokale Nutzergruppen sollen sich treffen und sollen Tests schreiben, um die Qualität von PHP zu verbessern. Genauere Angaben, wie die Tests durchzuführen sind und andere Informationen, erhält man auf der angegebenen PHP-TestFest-2009-Webseite.

Wie man dieser Wikiseite entnehmen kann, haben sich in Deutschland schon Berliner und Münchner zur Unterstützung bereit erklärt. In München soll das TestFest am 16. April - Ort zum einleitenden Socializing noch nicht festgelegt - und am 17. April in den Räumen von Microsoft Unterschleißheim stattfinden.

Posted by gabriele-mohl

Defined tags for this entry: developer, development, entwickler, entwicklung, events, microsoft, münchen, php, php entwickler, techevents münchen, techies, techism munich, techtalk, treffen