Sicheres PHP

[Dubbel]

Doch, z.B. bei Dateiuploads.

Früher (wenn man das als 17 (! ^^)-jähriger sagen darf ^^) haben viele Dateiuploader nur nach der Dateiendung geguckt. Dann konnte man z.B. "test.php%00.jpg" hochladen, PHP-prüft die Endung, alles okay, wir gespeichert, doch der Unixserver schneidet alles nach %00 ab, und zack hat man seine PHP-Datei ausführbar auf dem Server. Das waren noch Zeiten... ^^
Bei cloidnerux klappt das allerdings nicht

Hat aber nichtmehr viel mit dem Thema zutun merk ich gerade...einigen wir uns darauf, dass man Passwörter mindestens mit md5 und am besten mit cyrpt und salt verschlüsseln sollte, keine wichtigen Daten in Cookies speichern, und am besten bei der Registrierung der User diese auf evt. unsichere Passwörter hinweisen.

Und zwar nicht wie JoinR

[whitenexx]

PHP ist Mist. Ich war mal PHP-Entwickler und Spreche aus Erfahrung. Jeder der in PHP entwickelt oder entwickeln will, sollte sich das hier mal durchlesen:
PHP, Broken by Design

Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.

[Dominik]

hallo whitenexx

ich glaube hier sprechen einige aus Erfahrung, wohl auch größerer als deine.

Jeder weis heir wohl die Vor- Nachteile, und jeder entscheidet für sich was er richtig hält und wie er es machen möchte.

Bitte nächstmal anderes schreiben... schreibst ja noch "unerzogener" als ich;)

[cloidnerux]

Zum Thema "Sicheres PHP".
Heute einen Artikel in einr guten IT-Zeitschrift gelesen über PHPIDS, ein PHP lib womit man angriffsversuche in PHP scipts über XSS zu verhindern indem es SQL-Injektions und sontigen schadcode versucht zu filtern und zu umgehen.
http://php-ids.org/
Empfelenswert es sich mal anzuschauen.

Zur Zeit entwickle ich mit Groovy & Grails, dass mir schönen Java Bytecode liefert.

Wenn ich erlich sein sollte, finde ich Java noch schlimmer als PHP.
Man muss erst warten bis sich die Javaengine läuft, das Porgramm geladen ist und man hat nciht mehr als mit PHP und DHTML.

[Dominik]

wenn schon dann fast cgi mit c ^^ ^^

[whitenexx]

Du scheinst ja nicht viel Ahnung von Java zu haben. Es ist wesentlich schneller und perfomanter als PHP. Bei jedem Seitenaufruf wird dein PHP Programm übersetzt und ausgeführt. Dies führt bei vielen Seitenaufrufen zu einer extrem hohen Serverlast. Ein Java Programm hast du einmal gestartet und in der Laufzeit. Nicht umsonst ist eBay auch in Java geschrieben. Von anderen großen Webseiten wollen wir erst garnicht sprechen.
Javaengine? Du meinst die jvm? Dir ist schon klar das du Java auf dem Desktop nicht mit J2EE vergleichen kannst? Du vergleichst Äpfel mit Birnen, Home mit Business.

Man schaue sich alleine das PHP gefrickel an. Kaum sauberer Code, Objektorientierung naja, dazugefrickelt, wiederverwendbarkeit = 0.

Mein Grails Programm:
Nachträglich super anpassbar, vollständig objektorientiert, wenig Entwicklungskosten, kürzere Entwicklungszeit, etablierte Frameworks (nicht so ein Mist wie ZEND ), sicher dank Java-Sicherheit, springsecurity, acegi and so on.

PHP ist bei Hobbyprogrammierern weit verbreitet, mehr aber auch nicht.

Ahja nochwas: Kannst du PHP anständig compillieren? Warum gibts bei PHP so einen scheiß wie safe_mode (wer die Vergangenheit kennt, weiß das es dazugefrickelt wurde)? Wieso ist PHP nicht Threadsafe? Warum hat man erst jetzt vor kurzem namespaces eingeführt und warum wieder nur so dazugefrickelt?

PS. Sowas wie phpids gibts schon lange, siehe cback CrackerTracker

[Dominik]

Nicht jeder legt so viel auf Geschwindikeit

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java


Daas PHP safemod nicht gut ist wissen wir, nun ja "dann dring halt mal in ein gute geschriebenes php programm ein"

[whitenexx]

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java

Ja das hängt vom Anwendungsfall ab, vorallem vom Webserver der eingesetzt wird.
Aber trotzdem ist Java schneller. Java ist fast so schnell wie C++, laut Alioth und durch diverse Benchmarks bestätigt:
http://shootout.alioth.debian.org/

Ihr habt alle noch das alte "Java-Applet" im Kopf. Das ist falsch.

Zitat aus einem Developer-Forum:

PHP wird immer wieder interpretiert. Java einmal in bytecode kompiliert (Geschwindigkeitsplus 1) und der Server bietet es dann (sofern einmal dann in native kompiliert) auch beim nächsten mal direkt in native an (Geschwindigkeitsplus 2).

[Dominik]

Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist

Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme

Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)

[whitenexx]

In vielen Anwendungsbeispiele ist wohl PHP eh schneller als Java

Ja aber sorry darum geht es nicht wann ob ob JAVA wieviel 1000 Millisekunden schneller oder nicht schneller ist

Merkst du was?

Wenn man eine Website wie Ebay hat , hat man ganz andere Probleme

Stimmt.

Aber auch große Projekte wurden mit PHP gemacht (gut vllt brauchen sie paar Server mehr wer weis das schon)

Mag sein, hab ich ja auch nicht angezweifelt, ich selbst hatte mal sehr große PHP-Projekte in meiner PHP-Zeit. Lust ist nur, dass sehr viele große Unternehmen irgendwann alle auf Java oder Alternativen (.NET usw.) umschweifen...