Ilia Alshanetsky опубликовал текст презентации (http://ilia.ws/files/phptek2007_secpitfalls.pdf) (PDF, 570Кб) подготовленной для конференции PHP|Tek 2007. В документе наглядно на простых примерах в популярных PHP скриптах рассказывается о типичных ошибках PHP программистов, приводящих к серьезным проблемам безопасности.

URL: http://ilia.ws/archives/171-PHPTek-2007-Security-Pitfall-Sli...
Новость: http://www.opennet.me/opennews/art.shtml?num=10816

• Типичные проблемы безопасности PHP скриптов в примерах,Sergey A. Bulba, 12:14 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,zedis, 12:34 , 18-Май-07
  • Типичные проблемы безопасности PHP скриптов в примерах,citrin, 17:02 , 18-Май-07
    • Типичные проблемы безопасности PHP скриптов в примерах,аноним, 01:46 , 19-Май-07
    • Типичные проблемы безопасности PHP скриптов в примерах,Kaban, 22:56 , 19-Фев-08
• Типичные проблемы безопасности PHP скриптов в примерах,Аноним, 13:24 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,Аноним, 14:30 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,Аноним, 15:33 , 18-Май-07
  • Типичные проблемы безопасности PHP скриптов в примерах,devcoder, 16:11 , 18-Май-07
    • Типичные проблемы безопасности PHP скриптов в примерах,Bakyt Niyazov, 18:45 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,Zoonman, 17:51 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,Ужасный Ден, 21:18 , 18-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,trinix, 08:24 , 19-Май-07
• Типичные проблемы безопасности PHP скриптов в примерах,skoval, 10:43 , 19-Май-07
  • Типичные проблемы безопасности PHP скриптов в примерах,Ali, 14:04 , 19-Май-07
    • Типичные проблемы безопасности PHP скриптов в примерах,oles, 02:20 , 20-Май-07

И это правильно. Постоянно кричать дырявый софт - это одно. Кричать, что можно использовать более надёжные инструменты - второе. Третье дело, показать, что в любой среде можно безопасно и удобно для рраазботчика делать нужную работу.

Хорошая заметка побольше бы таких, а то все гонят на дырявость PHP приложений.

И правильно гонят. Потому что 90% тех кто пишет на PHP никогда не будут читать статьи по безопасности.

тем более, что существует множество примеров, когда для обеспечения безопасности приходится программно обходить косяки в самом РНР! Петон, перл, руби в массы! РНР на колъ!

И при чём тут php если программисты не квалифицированные?

Перечисленные ошибки возможны в программах на любом языке, но это не отменяет ошибок в самом PHP и низкого уровня PHP программистов в общем.

такие вещи надр на титульной странице каждого хостинговом провайдера вешат... бо достали...

Для написания пхп скриптов не нужно знать программирования практически, собственно из-за этого и делают множество ошибок. А учитывая огромное число мега руководств в сети по поводу написания собственных cms с дырками увеличивает число взломов на порядок.

я думаю так, что PHP по суммарному критерию
"качество переведённой документации + простота/близость (например к распространённым  С,паскаль) синтаксиса",
устанавливает самую низкую планку для начинающих разработчиков,
в сравнении с Python, Perl, Ruby

у одного синтаксис - аж моск с непривычки сводит, отгадайте старичка
у другого полная документация только на английском,
некоторый доки даже только на японском

все это безусловно оказывает влияние на результаты первоначального выбора языка и платформы веб-разработки
а потом уже и затягивает ;(

Приветствую!

Вообще, IMHO PHP взял тем, что у него изначально была

1. Поддержка почти всех СУБД
2. Документация
3. Простота+интересный подход

Сейчас ситуация, по моему мнению, меняется к лучшему поскольку технология развивается
да и требование на качественный софт увеличилось.

С уважением,
Ваш покорный слуга.

Все проблемы с любыми языками связаны с незнанием или глупостью. PHP годен лишь для рюшечек по мелочи. Да писать на нем легко и удобно. Аналог ZendStudio для Perl есть? А нормальный хелп на русском языке с индексом, а не полотно на 90 kB с фреймами?
Ну и это людям мешает учиться правильному программированию. А почему?
Да потому что очень мало людей способных научить других программированию. А знаете как в универах сейчас учат? Дают подборку литературы и все. Крутись как хочешь... Умным дядям некогда заниматься обучением новичков. А те преподы, что учат, от программирования, как правило, очень далеки. Спросите их что-нибудь об отличии объектно-ориентированного подхода от структурного и по существу толкового ничего не получите. Я когда начинал писать на ПХП, код был далек от совершенства так, что сейчас я ужасаюсь, что выкладывал его на сервер.
Просто до обучения людей программированию, их надо учить алгоритмизации. И только после этого давать синтаксис. А сейчас, кроме примитивного синтаксиса на банальных примерах без подводных камней, ничего не дают. Вот и пишутся дырявые скрипты на ПХП, потому что другие языки гораздо более сложны и пишется на них тяжелее.

>А сейчас, кроме примитивного синтаксиса на банальных примерах без подводных камней, ничего не дают. Вот и пишутся дырявые скрипты на ПХП, потому что другие языки гораздо более сложны и пишется на них тяжелее.

как ни печально но правда...

Согласен, с предпоследним автором.

Подскажите пожалуйста чем плохо использование
<form action="<?php echo $_SERVER['PHP_SELF'];?>...
И кстати вывод этой переменной - это вообще плохо или только в формах?

Необрабатываемая переменная, которую можно подменить.
Глянь например тут http://blog.phpdoc.info/archives/13-XSS-Woes.html

Ну дык её можно подправить ;) Убрать <>'"
Или даже по наличию такого в ней выдать надпись Hello hackers victim!