Aktuelle Beiträge aus dem Bereich PHP



Werbung


Mit phpass Passwörter in eigenen PHP Anwendungen richtig verschlüsseln

Mit PHP verschlüsseln

Die altbekannte md5() Verschlüsselung in PHP ist nicht mehr sicher, das dürfte nun bekannt sein. Es gibt Serverfarmen, mit denen md5-Hashes von “relativ schnell” bis “mit dem richtigen Cluster errechenbar” knackbar sind. Hierzu werden bereits Clouds benutzt, wie beispielsweise Amazons AWS. Besser ist es, gehashte Passwörter zusätzlich zu “salzen” – mehrfach zuverschlüsseln. Somit wird ein zurückrechnen oder erraten um ein vielfaches erschwert. Eine fertige PHP Bibliothek bietet sich hier an: phpass.

Werbung

Piwik 1.7 mit vielen Verbesserungen erschienen

Piwik ist eines der sehr beliebten Webseiten-Analyse Tools, die ähnlich Google Analytics arbeiten. Im Gegensatz zu Analytics läuft Piwik allerdings nicht auf den Servern von Google, sondern auf dem eigenen Server.
Zu Piwik ist nun Version 1.7 erschienen und bringt einige Neuigkeiten und Verbesserungen mit.

Nginx und PHP mit XCache

XCache für einen schnelleren Seitenaufbau von PHP Skripten

Mittlerweile ist es auch für Google wichtig, dass Webseiten schnell aufgebaut werden. Da PHP bei jedem Seitenaufruf die Skripte durchkompiliert und dann erst ausführt, ist dies durchaus auch eine Geschwindigkeitsfrage. Aber dem kann entgegen gewirkt werden, indem PHP mit XCache optimiert wird.

Böse Bots aussperren – mit einer Suchmaschinenfalle böse Bots aufspüren

Mäusefalle für Suchmaschinen
Die meisten Suchmaschinen-Spider halten sich an den robots.txt-Standard, geregelt unter http://www.robotstxt.org/wc/exclusion.html, manche aber auch nicht. Gerade diese Spider sollte man im Auge behalten, da sie nicht immer gutes im Schilde führen. Allerdings läuft auch der Google-Bot hin und wieder in diese Falle. Wie kann man diese Bots erkennen ?


b1gMail – Template cache folder not writeable (Error 0×08)

Nach der Installation der b1gMail-Software sind einige Rechte zu setzen, so dass die pipe und auch andere Programmteile korrekt auf die Pfade zugreifen können.

Leider logt das pipe.php-Programm von b1gMail keine Fehlermeldungen, so dass man sich lange selbst auf die Suche machen muss.

PDO und PDO_SQLITE bringt bei make einen Fehler

PDO und PDO_SQLITE bringen wohl seid neuestem bei der kompilierunge Fehler.

Allerdings ist jetzt PDO fest im PHP Core mit inbegriffen.
Für PDO sowie PDO_SQLITE einfach ein

# aptitude install php5-sqlite

ausführen und beide Module sollten installiert werden.

PECL installieren

PECL bietet einige PHP Erweiterungen, muss aber zunächst installiert werden, damit diese genutzt werden kann. PECL ist als Laufzeit bereits in der PHP5 integriert und bietet einen separaten Installer für PECL Module nachzuinstallieren.

SQL Injections bei MySQL verhindern

Bei jeder Übergabe von IDs oder ganzen Worten kann ein Angreifer bei nicht überlegter Programmierung SQL-Code einschleusen, der durch den Query mit ausgeführt wird und somit Schaden in den Datenbanken ausnutzt oder ganze Datenbanken löschen.

Werbung

include() Funktion auf Injections prüfen

Viele PHP Skripte arbeiten mit dem include() Befehl, um bestimmte PHP Bereiche nachzuladen und auszuführen. Der include() Befehl läd die Datei, die in der Klammer angegeben wurde, nach und führt den darin enthaltenen Code lokal auf dem Server mit den rechten des Webserver-Dienstes aus.

open_basedir() zum Einsperren der Webseiten

Passwörter auslesen, in Systembereichen schreiben – das alles können PHP Skripte. Meist aber ungewollt. Ein beliebter Weg, um Hacker Tür und Tor von Servern zu öffnen, sind fehlerhafte Programmierungen von PHP Skripten, die dem Angreifer sämtliche Rechte auf dem gesamten Dateisystem einräumen.

Die kann man mit einem simplen Befehl verhindern. open_basedir definiert die Umgebung, in dem das PHP Skript arbeiten darf.