PHP UG Munich in München - Coding

Anhang zum Buch "PHP-Sicherheit"

nospam@example.com (Gabriele Mohl) — Sun, 16 Aug 2009 17:52:00 +0200

Ich kann jedem an Sicherheit interessierten nur das Buch "PHP-Sicherheit" - nun in der 3. Auflage erhältlich ist - empfehlen. Durch die Lektüre dieses Buches kann man bereits überdurchschnittliche Kenntnisse im Bereich Sicherheit von PHP erwerben. Allerdings habe ich in dem Buch keine Lösung für folgendes Standard-Sicherheitsproblem gefunden:

Man will Dateien nur innerhalb eines geschützten Bereiches zum Download anbieten. Jemand, der sich nicht eingeloggt hat und dessen Überprüfung nicht erfolgreich war, soll diese Dateien nicht herunterladen dürfen.

Die klassische, bis beschämende Sicherheitslücke ist dann da, wenn ein "Angreifer", der die URLs dieser zum Download angeboten Dateien kennt, diese durch direkte Eingabe der URL in seinem Browser, herunter laden kann. Also wenn man direkt per URL,-Angabe im Browser sämtliche Sicherheitsmaßnahmen umgehen kann.

Wie verhindert man nun so eine Sicherheitslücke?

"Anhang zum Buch "PHP-Sicherheit"" vollständig lesen

Wordwrap..

nospam@example.com (Michael *Byte* Haszprunar) — Fri, 07 Nov 2008 14:27:17 +0100

Hallo Mit-PHP'ler

Ich habe ein Problem mit meiner WebApp und ich hätte gerne ein paar Tips von euch. Es kommt ja vor dass so DAU's auf der Webseit einfach so aus Spaß die Fignern icht von eienr Taste lassen können und einem tonnenweise un-umbrechbaren Text reinknallen (200 Zeichen lang nur 'm').

Meine erste Lösung war: JS-Version von wordwrap auf alle Felder jagen wo das passieren kann (es lebe das PHP.JS Projekt). 3 Zeilen jQuery später und ein paar Kilobyte reicher ging das alles super.

Das große ABER: das Zeug taucht nun auf einmal nicht nur auf einer Seite auf sondern überall UND ich will den HTML-Code eigentlich als Grundlage zum PDF generieren verwenden (mein Tip hier: TcPDF auf basis von FPDF), insofern scheidet (speziell wg. letztem Punkt) die JS-Lösung aus.
"Wordwrap.." vollständig lesen

Piece of Ruby

nospam@example.com (Nils Hitze) — Wed, 15 Oct 2008 11:01:45 +0200

Sehr empfehlenswert, das illustrierte Rubytutorial (Quickstart) von Poignant als Onlineversion.

Bitte kombinieren mit der Interactive Ruby Shell, einer Online Version des Ruby Interpreters zu
schnellen Testen von Codeschnipseln.

Real Time Shared Editing with Cola

nospam@example.com (Nils Hitze) — Fri, 18 Jul 2008 09:36:23 +0200

Real Time Shared Editing, das ist collaborative Working am selben File zur gleichen Zeit auf unterschiedlichen Rechnern. Etwas das mir, gerade bei Ferndiagnostik, schon lange gefehlt hat. Ich hab das Plugin leider noch nicht zum laufen gebracht, aber der Entwickler scheint in München zu arbeiten, die Chancen auf Support sind also gut. Das ganze läuft als Eclipseplugin. Mehr dazu findet ihr zusammen mit einigen Screencasts auf Mustafas Blog

Tip: mysql_real_escape_string

nospam@example.com (Nils Hitze) — Thu, 17 Jul 2008 16:24:41 +0200

mysql_real_escape_string() ist eine nützliche Funktion und man nutzt die ganz intuitiv und ohne gross darüber nachzudenken in allen möglichen Skripten. Eigentlich ist die Funktion da um den Code vor Injections zu schützen (dafür aber nicht nur auf mysql_real_escape_string verlassen bitte). Jedenfalls sollte sie dass sein, aber als ich vorhin den grossen Teil meines Codes auf unsere MSSQL DB umgestellt habe, ist mir die Funktion um die Ohren geflogen.

Warum?

Weil ich keine einzige mysql Verbindung mehr geöffnet hatte und mysql_real_escape_string eine geöffnete Verbindung zum Server braucht.

So und ihr macht jetzt bitte nicht den gleichen Fehler, ok?

Eisberg voraus

nospam@example.com (Nils Hitze) — Wed, 23 Apr 2008 16:01:42 +0200

Joel on Software schreibt über Eisberge und das solltet ihr wirklich lesen. Es geht um Manager, Entscheider und warum Programmierer und Manager nicht gut miteinander reden können.

Lieblingszitat:

You know how an iceberg is 90% underwater? Well, most software is like that too -- there's a pretty user interface that takes about 10% of the work, and then 90% of the programming work is under the covers. And if you take into account the fact that about half of your time is spent fixing bugs, the UI only takes 5% of the work. And if you limit yourself to the visual part of the UI, the pixels, what you would see in PowerPoint, now we're talking less than 1%.
That's not the secret. The secret is that People Who Aren't Programmers Do Not Understand This.
Auszug aus The Iceberg Secret, Revealed

PHP TestFest

nospam@example.com (Nils Hitze) — Mon, 14 Apr 2008 09:18:54 +0200

Johannes Schlüter (Entwickler bei MySQL) hat mich die Tage kontaktiert um mich zu Fragen ob ich/wir Interesse an einem PHP TestFest hätten. Kurz zum TestFest, es geht um die Verbesserung der Testabdeckung der Test Suite für PHP selber. Das Ganze wird im Mai stattfinden und ein genauer Termin steht noch nicht fest. Meldet euch bei mir bzw. Johannes damit er ungefährt weiß wie groß das Interesse ist. Jeder ist natürlich ganz herzlich eingeladen seine eigenen Test zu schreiben. Mehr dazu hier.

This is so easy

nospam@example.com (Nils Hitze) — Tue, 08 Apr 2008 12:30:55 +0200

Warum bin ich nie auf sowas gekommen? Ah ich weiß, ich hab's nicht gebraucht bisher. Aber jetzt weiß ich wo ich den passenden Code finde um eine spezielle Zeile aus einer Datei auszulesen. Und hier für euch via PHPGuru.

Online-Validatoren

nospam@example.com (Nils Hitze) — Tue, 18 Mar 2008 00:58:19 +0100

Sie sind nicht unbedingt immer nötig. Für viele gibt es mit Firefox-Erweiterungen einen adäquaten Ersatz. Und trotzdem sie sind praktisch: die Rede ist von Online-Validatoren. Die bekanntesten Vertreter solcher Prüfprogramme sind wohl sicher die des W3C für (X)HTML und CSS.

Es gibt aber auch eine Reihe weiterer Prüfprogramme, die auch Programmierern das leben erleichtern können, etwa bei debuggen einer Webseite oder insbesondere beim Performance-Feintuning od. optimieren.

Hier also eine Liste hilfreicher Online-Tools, die über die Markup-Validierung hinaus gehen. Jeweils mit kurzer Info für welchen Zweck ich sie einsetze, evtl. Vorteile, sowie Alternativen: Firefox-Erweiterung, die man zum selben Zweck verwenden kann.

"Online-Validatoren" vollständig lesen

Excel XML too many tags

nospam@example.com (Nils Hitze) — Thu, 17 Jan 2008 17:18:17 +0100

Da ich gerade Excel XML Files schreibe bin ich auf folgenden Fehler gestossen: Mein automatisch generiertes XML wurde von Excel nicht gelesen und als Fehler erhielt ich nur den leicht kryptischen unbrauchbaren Fehler "Zu viele Tags". Ãœbersetzung von Microsoft ins Deutsch lautet so in etwa: Ihre Worksheets brauchen unterschiedliche Namen, bitte vergeben sie für jedes Worksheet (Tabellenblatt) einen eigenen Namen. Hoffe es hilft. via A Ranger's Tale