Ehrlich gesagt werde ich in der letzten Zeit immer unruhiger, was das Unternehmen Zend betrifft. So gibt es schon seit längerer Zeit Gerüchte, dass das Unternehmen, welches unter anderem für die Entwicklung des Zend Studios verantwortlich ist, aber auch großen Einfluss auf die Entwicklung von PHP hat, übernommen werden soll (Oracle: Übernahme von Zend ist ungewiss).

Wie die Website it-republik.de nun berichtet, entlässt Zend rund 25% der Mitarbeiter der Entwicklungsabteilung um Kosten einzusparen und die Bilanz aufzuhübschen, da scheinbar Microsoft und Oracle Interesse an einer Übernahme haben. Auch wenn sich Zend nicht übernehmen lassen möchte, ein gutes Zeichen sind die Entlassungen sicherlich nicht.

Bleibt abzuwarten wie sich die Sache entwickelt, wenn man jedoch zwischen Microsoft und Oracle wähle könnte, würde ich tendenziell eher zu letzterem Unternehmen tendieren…

Die Quelltexte anderer Entwickler sind grundsätzlich immer spannendes, neues Material.
Denn unabhängig davon, ob der betrachtete Quelltext gut oder schlecht ist, in beiden Fällen kann man seine eigene Codequalität steigern.
So stößt man entweder auf völlig neue Methoden, Probleme zu lösen, oder man sieht, wie man etwas nicht machen sollte.

In einem aktuellen Projekt, bei dem eine bestehende Applikation erweitert wird, ist letzteres der Fall. Der letzte Entwickler hat wohl noch nicht ganz die Unterschiede zwischen $_POST, $_GET und $_REQUEST erkannt, was aber scheinbar öfters vorkommt.
Aus diesem Grund gibt es nun an dieser Stelle eine ziemlich kurze Erklärung.

$_POST
Gerade wenn Passwörter bei einem Formular übertragen werden (bzw. allgemein bei der Verarbeitung von Formularen), sollte man auf $_POST setzen. Einfach ausgedrückt werden die $_POST Daten im Gegensatz zu $_GET NICHT über die URL übermittelt, spricht an der Adresse in der Statusleiste ändert sich nichts. Das ist wie gesagt vor allem bei Passwörtern praktisch, denn neugierige Kollegen lauern an allen Orten.

Vorsicht: Viele Entwickler sind der Meinung, dass man $_POST Variablen nicht überprüfen muss, nur weil man die Daten nicht in der URL „sieht“. Aber Dank Firefox Erweiterung wie der Web Developer Toolbar, ist es für einen halbwegs begabten Webentwickler gar kein Problem, $_POST Variablen zu manipulieren.

$_GET
Immer wenn ein Parameter von „außen“, also über die URL, manipuliert werden soll, bietet sich der Einsatz von $_GET an.
Ein Beispiel hierfür wäre der Inhalt einer Website, der je nach URL variiert und über eine ID aufgerufen wird.

$_REQUEST
Meiner Meinung nach sollte man, sofern möglich, auf $_REQUEST verzichten, denn $_REQUEST übernimmt alle Inhalte aus Cookie, POST und GET Variablen. D.h. hier besteht die Möglichkeit, eine Variable zu überschreiben, sollte man für GET bzw. POST denselben Namen benutzen. Hier besteht vor allem die Gefahr, dass ein User Code „einschmuggeln“ kann und so die Sicherheit der Anwendung gefährdet.

Wer also eine halbwegs sichere Webanwendung entwickeln möchte, sollte auf $_REQUEST verzichten und gezielt mit Hilfe von $_GET oder $_POST auf die entsprechenden Inhalte zugreifen.

Bei einem Kunden von uns ist heute ein etwas merkwürdiger Fehler aufgetreten. Beim Versuch die index.php Datei zu laden, gab der Apache Webserver den Fehlercode 500 bzw. die Meldung "Premature end of script headers" zurück.
Der Fehler war dann aber relativ schnell gefunden und zwar hatte das Hauptverzeichnis einen chmod von 777, was der Grund für den Fehler war, denn das Verzeichnis muss einen chmod von 755 haben. Dennoch handelt es sich hierbei um einen etwas mysteriösen Fehler, da die chmod Einstellung von niemanden verändert wurde und das Script mit 777 ohne Probleme lief…

Sicherheit wird ein immer wichtigeres Thema, auch im PHP Umfeld. Eigentlich ist es ziemlich traurig, so viele unsichere PHP Webanwendungen im Internet vorzufinden, bei denen sich die Entwickler so gut wie keine Gedanken über das Thema Sicherheit gemacht haben.

Um verstärkt in die Materie einzutauchen habe ich mir, Dank den Lufthansa Miles & More Bonusmeilen und buch.de, das Buch "PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren" gekauft und durchgearbeitet.

Gegen Ende war das Buch aber ehrlich gesagt ein wenig enttäuschend. Anfangs wird verstärkt auf die Themen SQL Injections, Cross Site Scripting etc. eingangen (sehr gute Kapitel!), der letzte Teil des Buches beschäftigt sich dann mit dem Thema Sicherheit aus Sicht des Administrators (Wie kann man PHP an sich absichern etc.).
Gerade die letzten 50 - 60 Seiten sind leider ziemlich holprig geworden, weswegen das Buch gegen Ende ein wenig einschläfernd wirkt.
Wer jedoch in das Thema Sicherheit mit PHP eintauchen möchte, kann sich das Buch auf jeden Fall zulegen und, das ist zumindest meine Sicht der Dinge, die letzten Seiten einfach überspringen.

Entwickler, welche das PEAR Paket HTTP_Upload benutzen, können teilweise Probleme mit den Rechten der hochgeladenen Datei bekommen.

So wurden bei einem aktuellen Projekt die Rechte der hochgeladenen Datei grundsätzlich völlig falsch gesetzt, auf einem anderen System hat der Upload hingegen ohne Probleme funktioniert.
Daher empfiehlt es sich, nach dem Upload die Rechte der Datei mit dem Befehl CHMOD anzupassen.
chmod("grafik.png", 0644);

Funktion chmod

Nach einer kurzen Meldung auf zf-blog.de möchte ich auch an dieser Stelle nochmals auf das neue Buch von Carsten Möhrke hinweisen, welches sich mit dem Zend Framework beschäftigt.
Nähere Informationen zum Inhalt findet ihr hier, außerdem veranstaltet der Autor ein kleines Gewinnspiel.
Mitmachen lohnt sich

Aus irgendeinem Grund komme ich gerade wohl von einer XSS Lücke zur anderen…
Diesmal hielt es wohl einer der Entwickler von webjobber.de nicht für nötig, die Formularfelder in der Suche zu checken.

Klick mich!

Unglaublich… Mir fehlen einfach die Worte.

JavaScript Alert
klick mich

HTML einbinden
klick mich
klick mich

Sind nur 2 Hinweise, Schweinereien kann man auf der Website scheinbar genug machen… Der Kreativität sind also keine Grenzen gesetzt

Wer für seine Projekte auf die Template Engine Smarty setzt, hat bei bei den Entwicklungsumgebungen Eclipse PDT bzw. Zend Studio Neon zuerst ein kleines Problem. Denn von Haus aus unterstützen beide IDEs kein Syntax Highlighting für Smarty.

Um dieses Problem zu umgehen wurde ein Plugin entwickelt, welches mit beiden Entwicklungsumgebungen (sind ja im Prinzip beide identisch) funktioniert.
Das Plugin kann man sich unter http://code.google.com/p/smartypdt/downloads/list herunterladen, die Installationsanleitung findet man unter http://code.google.com/p/smartypdt/wiki/InstallSmartyPDT.

Wer Windows Vista nutzt und versucht das Plugin zu installieren, bekommt eventuell bei der Pluginaktivierung folgende Fehlermeldung:
Requested operation cannot be performed because it would invalidate the current configuration. See details for more information.
  Smarty Feature (0.5.2.200711091705) The site is not updateable: file:/C:/Program Files/Zend/Zend Studio Neon - Beta/.

Aber auch das ist keine Tragödie. Einfach die Eclipse bzw. Zend Studio EXE als Administrator ausführen (Rechtsklick -> als Administrator ausführen) und schon kann das Plugin ohne Probleme aktiviert werden

Datentypen in PHP? Ja das soll’s wirklich geben…

- settype
- http://de.php.net/manual/de/language.types.php