Weblabor

Köszönet a pozitív feedbackért.

A .ht* fileok védelmére szolgáló részlet a default httpd.conf-ban is benne van, ezért nem tértem ki erre külön (meg persze az Apache-ot annyi különböző módon lehet biztonságosabbá tenni, amelyek ismertetése bőven túlnő az írás keretein - ezért tettem pl. csak rövid említést az SSL-ről). Persze egyéb visszajelzésekkel párhuzamosan fog bővülni a dokumentum ezen a téren is.

A magic_quotes_gpc használatáról nagyon régóta zajlik vita, a phplistán is volt már thread (itt). Személy szerint ebben a kérdésben nem szeretnék állást foglalni, mivel nagyrészt hitvitának érzem, aminek a megoldása triviális bármilyen beállítás felől is közelítjük. Épp ezért írtam azt, hogy fontosabb ismerni a beállítást (és ennek ismeretében fejleszteni megfelelő megoldást), mint ragaszkodni egy beállításhoz önmagában.

Köszönet az észrevételért, a hiba javítva.

Igyekeztem úgy fogalmazni, hogy a kezdők számára se legyen érthetetlen az ajánlástömeg (az indokolt helyeken olyan magyarázatok találhatóak, amelyek egy középhaladó számára teljesen egyértelműek), de valahol valóban kellett egy "vonalat" húzni, hiszen elsősorban ajánlásgyűjtemény készítése volt a cél, nem a PHP leírás részben megismétlése (ami szintén rengeteg információval szolgál ezen a téren!). Egy kezdő igaziból abból profitálhat, ha tud arról, hogy ezt át kell néznie, amikor a nyelv illetve a technológia maga már nem jelent túlzott problémát, és valóban komoly alkalmazást kívánt fejleszteni (amelyért akár pénzt kap például). Az egyes témákban mindenesetre a linkek és egy google.com segítségével azt hiszem, könnyen el lehet mélyedni - ráadásul egy önképzést teljes egészében pótló leírás túlzott biztonságérzetet kelthet az olvasóban :)

A Visual Regexp-tippért köszönet, be is került a Regex Coach mellé.

Egy alapvető dolgokra figyelő ellenőrző script írása egyébként egyáltalán nem elvetendő ötlet, bár sajnos a biztonsági témák legfontosabb része nem igazán ellenőrizhető automatikus eszközökkel (pl. register globals, error reporting, formadatok formátumának ellenőrzése egy teljes siteon, stb.).
Morális oldalról megközelítve: sajnos megvan a veszélye, hogy egy ilyen szolgáltatás felhasználói esetleg máris biztonságosnak éreznék sitejukat, ha az ellenőrzés nem ír ki nagyobb hibát.