AW: [linux-l] PHP 4.3.x auf Redhat 7.1
Michael Kasten
kasten at webfox01.de
Mo Dez 8 13:40:30 CET 2003
Christian Boulanger wrote:
>Hi,
>
>mein ursprüngliches posting war etwas konfus, sorry, ich glaube man muss
>hier zwei Sachen trennen:
>
>1) Schönheit und Effizienz der Sprache
>
>Hier ist wohl vieles einfach Geschmacksache. Ich finde z.B. JavaScript
>überhaupt nicht hässlich, im Gegenteil ist es meiner Meinung nach total
>unterschätzt, was Klarheit und schnelles Entwickeln von Lösungen angeht.
>
Endlich mal jemand der mit mir gleicher Meinung ist :)
>Die Probleme mit der Sprache sind eher die von außen auferlegten
>Begrenzungen
>
Na ich denke mal eher der veriss in der Öffentlichkeit, was die
Gefärdung durch Javascript angeht
Hier wird immer mal wieder in "pseudosicherheitstips" gesagt: ui ui
gefährliches Javascript!
>Variablen mit $ mag ich einfach nicht,
>
Die lassen sich mit $besser als solche erkennen, und in der bash
stolpert mann z.B. auch gleich wieder drüber
>fehlende Objektorientierung
>
Mindestens so gut wie in JS
Klassen anlegen, objekte bilden, Eigenschaften und Methoden. was fehlt:
destruktoren die sind ab 5 drin.
>2) Sicherheit
>
>Hier würde ich gerne mehr von Systemadministratoren hören, was ihre
>Erfahrung mit PHP ist und warum viele so große Sorgen deswegen haben.
>
Ich glaube in erster Linie besteht die Gefahr durch sog. "sql
injections" wo der böswillige User deine DB mit
querys wie "Drop table xyz" zerstört.
Entführen von Cookies war glaub ich auch mal ein Thema (mit der
Möglichkeit sich als jemand anderen ausgeben).
Die Datei und Verzeichnissfunktion bei schlampig konfigurierten
Apache/PHP können auch zur Unterhaltung beitragen
Das ewige "register Globals" Thema. Diese sollten auf off stehen um z.B.
das eintragen falscher Werte in die Variablen zu verhindern (trägt auch
zur Übersichtlickeit bei da der Name der Variablen aufschluß über die
Herrkunft gibt)
Da bin ich selber betroffen weil ich viele Seiten auf Servern kenne die
nach Umstellung auf off nicht mehr laufen werden.
> Es
>ist immer ein Ärgernis, wenn der Provider PHP nur im "Safe mode" laufen
>lässt, weil dann die Hälfte aller Webapplikationen nicht funktionieren.
>Aber es wird wahrscheinlich gute Gründe dafür geben.
>
z.B. Einschränkung der Schreibrechte
PS. Ich hoffe mal alles den Umgang mit der Mailliste richtig zu machen
falls nicht, wäre schön wenn mir jemand sagt was ich falsch mache und nicht
gleich wieder rumnöllt.
Cu
Mehr Informationen über die Mailingliste linux-l