PHP

 Все о PHP, MySQL и не только !

PHP и Mysql PHP расшифровывается как "PHP: Препроцессор гипертекст" и является популярным языком сценариев открытых источников. Она направлена ??в основном на разработке веб-приложений и динамических веб-контента. Поэтому он легко может быть встроен в HTML страницах. Подобные системы Microsoft ASP.NET и JSP от Sun Microsystems. Дополнительная конкурентов Macromedia ColdFusion и Zope сервера приложений на базе языка Python скриптов. В центре внимания этой статьи на практике безопасного программирования на PHP. Безопасной конфигурации как веб-сервер и интерпретатор PHP не входят в основной рамки этого документа. Тем не менее, такие вопросы решаются там, где они влияют на программиста. Например, администраторы хотите отключить некоторые функции интерпретатора PHP для обеспечения системы. Для того чтобы такие меры упрочнения важно, чтобы эти возможности не используются разработчиков PHP. PHP и Mysql в качестве языка программирования проста в освоении и проста в использовании. Это также является причиной его популярности. К сожалению, в PHP не только позволяют легко создавать приложения, он также поставляется с некоторыми особенностями, которые позволяют легко писать небезопасный код. В настоящем документе содержатся руководящие принципы о том, как избежать опасных конструкций языка и особенностей. Кроме того, он дает указания о том, как выполнить надлежащую проверку безопасности, которые помогают защититься от распространенных атак. Каждый раздел имеет дело с конкретной проблемой безопасности или функциональной группы и сопровождается списком рекомендаций. Эти рекомендации могут быть использованы в качестве контрольного перечня на стадии разработки, и се-пасности оценок. Общая схема работы выглядит следующим образом: • Общие обработки вводимой пользователем информации: В этом разделе рассматриваются общие аспекты, как обращаться с пользователем. Как фильтровать и проверять его, поэтому он не содержит вредоносных данных. • Обработка файлов: В этом разделе рассматриваются аспекты безопасности, связанные с файлами. Например, приводится подробная информация о том, как PHP обрабатывает доступ к файлам на удаленных системах и связанных с ними рисков. • Включение файлов: заявление PHP включают позволяет программистам включать содержимое других файлов в сценарий. В данном разделе главным образом заботится о рисках, что содержимое этих файлов включает подвергается нападавших и риск того, что злоумышленники использовать неправильное использование включают заявление для введения своего кода. • Командная Обращение: В этом разделе рассматриваются аспекты безопасности, связанные с командами, которые передаются и выполняются в системную оболочку. • Базы данных: Типичные вопросы безопасности систем баз данных, как атаки SQL инъекции являются частью этого раздела. • Сессии: Сведения о том, как правильно использовать PHP функции сессия представляет этот раздел. • Общие PHP интерпретатора конфигурации: И, наконец, в этом разделе добавляется информация об общих параметров конфигурации интерпретатора PHP. Особенно важны инструкции по настройке и использовании отчетов об ошибках в PHP функций

• PHP 5.3 (5.3.6)  | for Windows
• PHP 5.2 (5.2.17) | for Windows

DevConf 2011 — конференция профессиональных веб-разработчиков.

4 июня(суб) Москва, Измайлово:

• Доклады от опытных специалистов в MySQL, PostgreSQL, PHP, Perl, Python, Ruby, Javascript, ASP.NET.
• приезжают разработчики Facebook, Badoo и автор PHP (50 докладов)
• Не пропусти тусовку — будет более 1000 веб-разработчиков. Проголосуй за свой любимый язык программирования!

04.03.2010: Релиз ветки 5.3 (PHP 5.3.2)

Релиз PHP 5.3.2. Исправлено три проблемы безопасности (аналогично PHP 5.2.13):

• Исправлена возможность обхода ограничений safe_mode в функции tempnam(), при указании в качестве аргумента пути не заканчивающегося на "/".
• В расширении "session" устранена потенциальная возможность выхода за пределы окружения, ограниченного настройками open_basedir/safe_mode.
• Увеличена энтропия при генерации случайных чисел с использованием алгоритма LCG (Linear congruential generator).

• Добавлена поддержка SHA-256 и SHA-512 для функции crypt.
• Улучшена защита содержимого переменной $_SESSION и улучшена проверка на корректность "session.save_path".
• Устранен крах при передаче в функцию crypt некорректного salt-a.
• В функции strip_tags() убрана ошибка, связанная с удалением HTML, размером более 1023 байта.
• В сборщике мусора устранена проблема, приводящая к краху.
• В DOMDocument::loadXML добавлена обработка строк в кодировке UTF-16.
• Функция filter_input() теперь возвращает значение по умолчанию.
• В http-враппере исправлена ошибка, приводящая к удалению заголовков размером более 1024 байт.

25.02.2010: Обновление ветки 5.2 релиз PHP 5.2.13

В очередной версии исправлено 38 ошибок и несколько уязвимостей:

• Исправлена возможность обхода ограничений safe_mode в функции tempnam(), при указании в качестве аргумента пути не заканчивающегося на "/".
• В расширении "session" устранена потенциальная возможность выхода за пределы окружения, ограниченного настройками open_basedir/safe_mode.
• Увеличена энтропия при генерации случайных чисел с использованием алгоритма LCG (Linear congruential generator).

08.02.2010: Ошибка Deprication или переход на версию PHP 5.3

Новая статья о переходе с PHP 5.2 на PHP 5.3

В последнее время все больше и больше приходит писем от наших посетителей, которые установив последнюю версию PHP 5.3.1 получают в работающих проектах подобные ошибки:

[ » Подробнее... ]

21.12.2009: Очередной релиз PHP 5.2.12

Финальная сборка популярной ветки 5.2.x в очередном релизе 5.2.12

• Исправлено несколько критических ошибок и пофиксено более 60 багов.
• Среди критических исправлений - новая директива PHP max_file_uploads, позволяющая установить лимит на файловые загрузки, что полезно для предотвращения DoS-атак.
• Исправлена работа в исключениях safe_mode и open_basedir.
• Ужесточены политики безопасности, что потенциально должно снизить вероятность проведения атаки на сайт, либо провести какую-либо нежелательную процедуру на сервере.
• Также в PHP 5.2.12 реализованы дополнительные методы валидации для функции htmlspecialchars(), требующей наличия или проверки специальных символов в HTML-коде.

21.11.2009: Релиз PHP 5.3.1

Почти пол года прошло с момента последнего релиза. И вот долгожданный релиз: PHP 5.3.1, в котором исправлено около 100 ошибок 
Среди новшеств, связанных с безопасностью, представленных в релизе PHP 5.3.1, отмечаются:

• Добавлена директива конфигурации "max_file_uploads", позволяющая указать максимально возможное число загрузок файлов на каждый запрос. Директива введена для защиты от DoS атак, направленных на истощение ресурсов через создание огромного числа временных файлов. Заданное по умолчанию значение - 20
• Добавлены дополнительные проверки в код обработки EXIF полей в изображениях
• Устранена возможность обхода ограничений safe_mode, через вызов tempnam() для неограниченного создания временных файлов
• Устранена возможность создания fifo-файлов вне корневой директории, определенной через open_basedir, путем вызова posix_mkfifo()
• Исправлена ошибка, приводящая к неработоспособности ограничения safe_mode_include_dir
• Устранена ошибка, приводящая к краху при передаче некорректного режима в функцию popen.

• Устранен крах при указании неверного значения typelib в момент вызова функции com_print_typeinfo
• Устранен крах при использовании отражений (Reflection) в SQLiteDatabase::ArrayQuery() и SQLiteDatabase::SingleQuery()
• Устранен крах при создании экземпляров PDORow и PDOStatement с использованием отражений
• Исправлена ошибка в коде работы с tar-архивами, связанная с обработкой длинных имен
• Исправлена ошибка приводящая к завершению выполнения в случае не определения интерфейса при вызове __autoload

[ » Подробнее... ]

23.09.2009: Релиз PHP 5.2.11! Рекомендуем обновить.

Команда разработчиков PHP анонсировала о выпуске нового релиза: PHP 5.2.11 и рекомендует обновить версию. 
[ » Подробнее... ]

30.06.2009: Долгожданный релиз PHP 5.3.0!

Среди новшеств, представленных в релизе PHP 5.3.0, отмечаются:

• поддержка пространств имен (namespaces)
• late static bindings
• лямбда-функции и замыкания
• NOWDOC
• сокращенный оператор тройного сравнения «?:»
• ограниченная версия оператора goto (jump label)
• родной MySQL-драйвер mysqlnd как замена libmysql
• улучшенная поддержка платформы Windows
• предупреждения об устаревших функциях вынесены в новый уровень ошибок (E_DEPRECATED)
• в состав языка теперь встроены расширения ext/phar, ext/intl, ext/fileinfo, ext/sqlite3 и ext/enchant
• а некоторые другие расширения (ext/ming, ext/fbsql, ext/ncurses, ext/fdf) — наоборот, перенесены в PECL.

[ » Подробнее... ]

18.06.2009: Новый релиз PHP 5.2.10 (продолжение улучшения безопасности)

В новом релизе PHP 5.2.10 исправлено более 100 ошибок, одна из которых серьезный момент в безопасности.  

12.05.2008: Новый релиз PHP 5.2.6 (исправлено более 120 ошибок)

В новом релизе PHP 5.2.6 исправлено более 120 ошибок, среди которых несколько имеют отношение к безопасности.   [ » Подробнее... ]

22.02.2008: Новый релиз PHP 5.2.5

Команда разработчиков PHP объявила о выпуске нового релиза: PHP 5.2.5. Релиз направлен на стабилизацию ветки PHP 5.2.x. Исправлено более 60 ошибок, некоторые касаются безопасности. Всем пользователям PHP 5 рекомендуется обновиться.   [ » Подробнее... ]

20.02.2008: Новый релиз PHP 4.4.8

Разработчики PHP объявили о выпуске релиза PHP 4.4.8.   [ » Подробнее... ]