Zur Startseite - das Weblog -

Warum Halbwissen so gefährlich ist

Gerade heute morgen lese ich einen Artikel auf dem Bloggonaut Blog in dem der Autor beschreibt, wie man mit einfachen Mitteln ein Gästebuch in PHP erstellen kann.

Als PHP-Profi überfliege ich den hier vorgestellten Code natürlich, um dann festzustellen, dass es sich praktisch um eine Einladung für Hacker handelt. Der hier vorgestellte Code Schnipsel:

$name = $_POST["name"];
$email = $_POST["email"];
$nachricht = $_POST["nachricht"];

und

$query = "INSERT INTO test (name, email, nachricht)
VALUES ('".$name."','".$email."','".$nachricht."')";
$result = mysql_query($query, $res);


ist geradezu ein Musterbeispiel, wie man sich eine SQL-Injection einfangen kann. Gerade so würde es ein PHP-Profi nicht machen.

Man kann dem Autor zugute halten, dass er gerade erst im Schnellkurs PHP gelernt hat, und sich daher mit dem gefährlichen Risiken und Nebenwirkungen nicht auskennt. Umso bedenklicher ist es dann aber, wenn man dann gleich sein frisch erworbenes Halbwissen in einem gut besuchten Blog als Tutorial verbreitet.

Ich selbst lebe teilweise von Kunden, die gerade wegen solcher Sicherheitsprobleme zu mir kommen, weil sie jemand suchen der hinter dem (ehemaligen) Programmierer gründlich aufräumt. Gerade vor einigen Monaten hat es eine Volkshochschule erwischt, deren Userdaten durch eine SQL-Injection in falsche Hände geraten sind.

Trotzdem scheint der Autor zumindest etwas in seinem Kurs gelernt zu haben, denn die Gefahr durch eingeschleusten JavaScript Code (Stichwort XSS Attacke) über htmlentities() hat er in seinem Artikel berücksichtigt. Aber das reicht nicht, Halbwissen eben :)

Ich habe den Blog-Betreiber auf jeden Fall gleich im Kommentar auf das Problem hingewiesen. Bin mal gespannt wann der Artikel entsprechend korrigiert wird.

30.09.2010 16:09:22, von Marian , 265 Wörter, 2713 mal angeschaut   Kategorien: Artikel, Programmieren, Quick Tipps

Dröge Arbeit 2.0: Amazon Mechanical Turk

Glaubt ihr, dass man die Kosten für Arbeit noch weiter drücken kann, nachdem was ihr bereits über Outsourcing in fremde Länder gelernt habt? Ich hatte ja schon einen Artikel über das Outsourcen von Projektarbeit ins Internet veröffentlicht, aber könnt ihr euch vorstellen das Leute selbst für ein paar US-Cent einige Minuten ihrer Arbeitszeit opfern würden?

=> Weiterlesen! (Dröge Arbeit 2.0: Amazon Mechanical Turk)

16.07.2010 09:50:03, von Marian , 1935 Wörter, 4158 mal angeschaut   Kategorien: Artikel, Quick Tipps

Blended-Learning Konzept (als PDF)

Im Februar diesen Jahres erhielt ich eine Anfrage zur Ausarbeitung eines Konzeptes mit dem firmeninterne Schulungen kostengünstiger durchgeführt werden können. Der Kunde musste bisher immer einen Fachmann speziell für Schulungsmaßnahmen freistellen, der dann das Fachwissen innerhalb eines ein- bis dreitägigen Seminars vermittelte.

=> Weiterlesen! (Blended-Learning Konzept (als PDF))

15.06.2010 11:15:40, von Marian , 276 Wörter, 1702 mal angeschaut   Kategorien: Lernen, Neuigkeiten, Artikel

Stricken lernen mit youTube

Neulich fragte mich eine Bekannte, wie man denn eigentlich Socken strickt. Da ich ja im Internet zuhause bin, war meine erste Idee, dort mal die Suchmaschine meines Vertrauens (hier: Google) zu bemühen. Während man früher immer Oma nach so was fragen konnte, landet man heutzutage immer öfter bei youTube. Hier bringt der Suchbegriff "Socken stricken lernen" auch gleich eine ganze Reihe von Videos zum Vorschein, die dieses Handwerk in allen Einzelschritten und sehr detailliert zeigen.

=> Weiterlesen! (Stricken lernen mit youTube)

09.05.2010 14:51:16, von Marian , 128 Wörter, 2307 mal angeschaut   Kategorien: Krimskrams, Artikel

Englisch lernen: One Idom a Day

Hier eine relativ neue Website die ich gern vorstellen möchte. Es handelt sich um eine Sammlung von Kurz-podcast Episoden, jeder Eintrag nur ca eine Minute lang. Damit lassen sich so genannte "Idoms" lernen, das sind typische Ausdrücke im Englischen.

=> Weiterlesen! (Englisch lernen: One Idom a Day)

04.02.2010 21:21:00, von Marian , 78 Wörter, 2005 mal angeschaut   Kategorien: Lernen, Artikel

1 Kommentar

Mythos Teamarbeit

Gerade habe ich den neusten Podcast "IQ - Wissenschaft und Forschung" vom Bayerischen Rundfunk gehört. Hier wird ausführlich erklärt, dass die Arbeit im Team gar nicht unbedingt zu besseren Resultaten führt als wenn man Probleme allein löst.

=> Weiterlesen! (Mythos Teamarbeit)

08.10.2008 12:26:19, von Marian , 112 Wörter, 2369 mal angeschaut   Kategorien: Neuigkeiten, Artikel, Podcast

1 Kommentar

Filme machen in virtuellen Welten

Endlich ist sie online, die erste Episode unserer virtuellen TV-Serie "SlipStream".

http://blip.tv/file/835879

Ausführliche Infos zu SlipStream und zu unserem Projekt "Filmemachen learning-by-doing" findet man hier:

http://www.slipstream-productions.com/blog/

19.04.2008 15:30:21, von Marian , 34 Wörter, 1698 mal angeschaut   Kategorien: Neuigkeiten, Artikel

Lernen in Second Life: Jetzt auch für Filmemacher

Seit einiger Zeit beschäftige ich mich ja schon mit Second Life (SL) und dessen Einsatz als mögliche Lernplattform. Im Laufe der Zeit habe ich nun einiges an Erfahrung gesammelt. Hier eine kurze Zusammenfassung:

=> Weiterlesen! (Lernen in Second Life: Jetzt auch für Filmemacher)

28.01.2008 15:30:38, von Marian , 639 Wörter, 2845 mal angeschaut   Kategorien: Artikel, Second Life

1 Kommentar

Second Life: Hype oder Business Modell?

Nachdem ich jetzt über zwei Monate in Second Life verbracht habe, möchte ich mal wieder einen Bericht abgeben, ob es sich als Geschäftsmodell eignet oder nur Zeitverschwendung ist.

Zunächst einmal: Ich habe einige sinnvolle Anwendungen für SL gefunden:

=> Weiterlesen! (Second Life: Hype oder Business Modell?)

27.04.2007 10:46:08, von Marian , 1974 Wörter, 4876 mal angeschaut   Kategorien: Artikel

4 Kommentare

Zeitstrahl für Web 2.0

Sehr interessante Grafik zur Entwicklung der Web 2.0 Werkzeuge über die Zeit.

04.10.2006 07:14:44, von Marian , 11 Wörter, 1143 mal angeschaut   Kategorien: Neuigkeiten, Artikel