Zur Startseite - das Weblog -Gerade heute morgen lese ich einen Artikel auf dem Bloggonaut Blog in dem der Autor beschreibt, wie man mit einfachen Mitteln ein Gästebuch in PHP erstellen kann.
Als PHP-Profi überfliege ich den hier vorgestellten Code natürlich, um dann festzustellen, dass es sich praktisch um eine Einladung für Hacker handelt. Der hier vorgestellte Code Schnipsel:
$name = $_POST["name"];
$email = $_POST["email"];
$nachricht = $_POST["nachricht"];
und
$query = "INSERT INTO test (name, email, nachricht)
VALUES ('".$name."','".$email."','".$nachricht."')";
$result = mysql_query($query, $res);
ist geradezu ein Musterbeispiel, wie man sich eine SQL-Injection einfangen kann. Gerade so würde es ein PHP-Profi nicht machen.
Man kann dem Autor zugute halten, dass er gerade erst im Schnellkurs PHP gelernt hat, und sich daher mit dem gefährlichen Risiken und Nebenwirkungen nicht auskennt. Umso bedenklicher ist es dann aber, wenn man dann gleich sein frisch erworbenes Halbwissen in einem gut besuchten Blog als Tutorial verbreitet.
Ich selbst lebe teilweise von Kunden, die gerade wegen solcher Sicherheitsprobleme zu mir kommen, weil sie jemand suchen der hinter dem (ehemaligen) Programmierer gründlich aufräumt. Gerade vor einigen Monaten hat es eine Volkshochschule erwischt, deren Userdaten durch eine SQL-Injection in falsche Hände geraten sind.
Trotzdem scheint der Autor zumindest etwas in seinem Kurs gelernt zu haben, denn die Gefahr durch eingeschleusten JavaScript Code (Stichwort XSS Attacke) über htmlentities() hat er in seinem Artikel berücksichtigt. Aber das reicht nicht, Halbwissen eben :)
Ich habe den Blog-Betreiber auf jeden Fall gleich im Kommentar auf das Problem hingewiesen. Bin mal gespannt wann der Artikel entsprechend korrigiert wird.
Kategorien: Artikel, Programmieren, Quick Tipps
Ich muss wirklich sagen, dass mich Amazons Mechanical Turk wirklich fasziniert. Ich habe ja schon einen Blogartikel veröffentlicht, in dem ich erkläre wie das Ganze funktioniert. Ich weiß noch nicht genau, wie Amazon mit dieser Plattform Geld verdient, aber ich vermute mal, dass man einfach einen bestimmten Prozentanteil der ausgezahlten Vergütungen als Provision vereinnahmt.
=> Weiterlesen! (Mechanical Turk (noch einmal) - Warum nur für Amerikaner?)
Kategorien: Krimskrams, Programmieren, Quick Tipps Das Auslagern von Arbeiten in Länder mit günstigeren Preisen habe ich ja bereits in meiner letzten Buchempfehlung erwähnt. Gerade neulich erreichte mich ein Newsletter von der mir gut bekannten Plattform "RentACoder" mit den Hinweis, dass man sich nun in VWorker umbenennen würde.
Mehr dazu kann man in meinem Blogeintrag auf heddesheimer.de nachlesen.
Kategorien: Krimskrams, Neuigkeiten, Programmieren Sie möchten gern Ihre PHP-Skripte auf dem eigenen Computer ausprobieren? Dazu benötigen Sie auf dem Rechner einen Webserver und die Skriptsprache PHP. Beides können Sie kostenfrei aus dem Internet herunterladen.
==== Edit =====
Dieser Artikel ist inzwischen veraltet. Zur Installation des Apache-Servers mit PHP empfehle ich den Download des Komplettpakets XAMPP den man bei apachefriends.org finden kann.
===============
Die folgenden Filme im Macromedia-Flash Format zeigen Ihnen genau,
wo Sie die Software herunterladen können, und wie sie installiert und
eingerichtet wird.
=> Weiterlesen! (Apache und PHP für Windows installieren)
Kategorien: Praxis, Programmieren