PHP verbergen

Das ist eine leichte Sache

in der php.ini braucht man nur die Einstellung expose_php von On sprich 1 auf Off also 0 zu setzen.

Hierbei wird unterbunden das die PHP Version mit in die Server Signatur eingebunden wird.

Hier Anzeige mit expose_php 1

HTTP/1.1 200 OK
Date: Tue, 03 Mar 2009 13:56:47 GMT
Server: Apache/2.2.0 (Fedora)
X-Powered-By: PHP/5.2.0-8+etch13

und hier eine Ausgabe mit expose_php 0

HTTP/1.1 200 OK
Date: Tue, 03 Mar 2009 13:58:20 GMT
Server: Apache/2.2.9

Ausgaben PHP

Hallo,

eine der bekanntesten Ausgaben ist echo(), hierbei handelt es sich um keine Funktion sondern viel mehr um ein Sprachkonstrukt.

$1234 = "Test";
echo "Das ist ein $1234";
Ausgabe wäre Test

Es kann auch vorkommen das in mitten von HTML auch Daten von PHP benötigt werden.Meißt schaut das dann so ähnlich aus…

Mein HTML Text wurde erzeugt am : .

Das ganze geht mit short_open_tags einfacher 😉

Natürlich gibt es auch print(), um eine Ausgabe zu erzeugen.

PHP Ext. Programme Aufrufen

Hallo,

es ist immer Vorsicht geboten externe Programme von einem PHP-Skript aus zu Starten,diese haben meißt den gleichen Webserverprozess und sind Gefährlich.Gerade wenn die externe Programme vuln sind,habe diese die gleiche Rechte wie der PHP-Prozess

Sollte es dennoch nötig sein ein externes Programm zu Starten sollte man escapeshellarg() zum escapen Nutzen.

Ich gehe auf das Thema mal nicht näher ein.

SQL Bugs in Woltlab Addons & Co

Hallo Gemeinde,

ich habe mir jetzt mal vorgenommen was hier über „SQL Bugs“ zu veröffentlichen.
Es kommt immer wieder vor das Addons für z.b das alte woltlab 2.3.* immer noch Buggy sind,wobei inzwischen klar sein dürfte wie man sich gegen SQL-Injection schützen kann.

Um seine SQL Query zu Schützen sollte man mit der php-funktion intval,addslashes oder auch mysql_real_escape_string arbeiten.

Genaue Aufklärung findet man auch bei wikipedia unter SQL-Injektion