SQL Injection je druh útoku, který hackeři používají hodně často k získávání citlivých údajů z Vaší databáze. Ať už to jsou přihlašovací jména a hesla, přístup k administrátorskému rozhraní nebo prostě jen k znehodnocení databáze (smazání některých částí apod.). Přitom stačí tak málo. Ošetřit vstupní hodnoty.

Rozhodl jsem se napsat pár řádků na tohle téma. Hodně lidí se mi ptalo na řešení různých situací, ale jakmile se jim podaří spíchnout (naprogramovat) skript, který chtěli, už se nezajímají jak je tento skript bezpečný. Vždy je potřeba řešení podle způsobu použití nějak zabalit.

(pokračování…)

Nedávno jsem psal PHP funkci pro uploadování obrázků na server přes HTTP. Takových funkcí je napsáno na internetu aba kuk, ale při testování na serveru (konkrétně banan.cz) jsem narazil na jednu záludnost. Klíčové ve funkci je to, že obrázky (fotky) ukládá do složek podle dne. Aby nenastala situace, že za rok bude v jedné složce 30 000 a více souborů. Po testování jsem funkci musel přepsat a veškerou komunikaci přenosu udělat pomocí FTP. Důvod nefunkčnosti je pravděpodobně ve zvláštním nastavení Apache nebo v právech pro uživatele. Na “Banánu” nelze přes HTTP a při zapnutém “safe_mode = on” vytvořit složku a nahrát do ní obrázek bez toho, aniž by složka nemusela mít všechna prává (člení i zápis) pro vlastníka, skupinu i ostatní. To je potom velmi snadný cíl útoku (testoval jsem nastavení naposledy 25.12.2008).
(pokračování…)

Nechci zde psát žádný seriál. Takových je na internetu mraky a pokud se někdo chce opravdu učit nějaký programovací nebo skriptovací jazyk, měl by investovat to knížky a rozhodně nešetřit korunou navíc. Nešetřit říkám záměrně, protože mezi chytrými knížkami jsou i ty ostatní s názvem “programátorem za 20 dní…”. Tyto knížky Vám moc nedají. Ani nebudu psát doporučení. Já začal na PHP 3 s knížkou od pana Koska z roku 1999. Pro mě to tehdy byla bible PHP. Škoda, že pan Kosek už nějak zaspal. V této knize je skvělá reference funkcí a tehdy i smysluplné příklady. (pokračování…)