Megjelent az októberi php|architect
Kicsit le vagyunk maradva a bejelentéssel, de az ingyenes - ezúttal fontos biztonsági kérdésekről szóló - cikk hasznossága miatt nem hagyhattuk ki ezen új szám említését. Az októberi kiadásban olyan cikkek kaptak helyet, mint a MySQL migrálása PostgreSQL-re, grafikonok készítése JpGraph-al, a GD kiterjesztés használata, sőt...
Helyett kapott még a naptárkezelő kiterjesztés alkalmazásának leírása, és egy igazi gyöngyszem, a PHP beépítése Delphi alkalmazásokba, így növelve az asztali alkalmazás fejlesztési produktivitást.
Az ehavi ingyenes cikk egy igen fontos témával foglalkozik, mégpedig az XSS (Cross Site Scripting - webhelyeken átívelő program futattás) és a CSRF (Cross Site Request Forgery - webhelyeken átívelő kérés hamisítás) támadásokkal és azok kivédésével.
Az XSS lényege az, hogy programunk megbízik a kívülről érkező adatban, és azt tárolás után (vagy akár anélkül) módosítatlan formában helyezi el egy oldal kimenetében. Így különböző gonosz szándékú JavaScript kódok csempészhetőek az oldalunkba, melyek a felhasználóink szokásairól, személyes adatairól szerezhetnek információkat, kihasználva azt, hogy látogatóink megbíznak a mi webhelyünkben.
A CSRF éppen ellenkezőleg azt használja ki, hogy a webhelyünk bízik a felhasználóiban. Így akár egy képpel lehet szimulálni egy kérést bármely olyan funkcióra az oldalon, amely GET lekérdezést használ, úgy hogy az a felhasználó által végrehajtott legitim műveletnek tűnik a szerver oldali program számára.
■ Helyett kapott még a naptárkezelő kiterjesztés alkalmazásának leírása, és egy igazi gyöngyszem, a PHP beépítése Delphi alkalmazásokba, így növelve az asztali alkalmazás fejlesztési produktivitást.
Az ehavi ingyenes cikk egy igen fontos témával foglalkozik, mégpedig az XSS (Cross Site Scripting - webhelyeken átívelő program futattás) és a CSRF (Cross Site Request Forgery - webhelyeken átívelő kérés hamisítás) támadásokkal és azok kivédésével.
Az XSS lényege az, hogy programunk megbízik a kívülről érkező adatban, és azt tárolás után (vagy akár anélkül) módosítatlan formában helyezi el egy oldal kimenetében. Így különböző gonosz szándékú JavaScript kódok csempészhetőek az oldalunkba, melyek a felhasználóink szokásairól, személyes adatairól szerezhetnek információkat, kihasználva azt, hogy látogatóink megbíznak a mi webhelyünkben.
A CSRF éppen ellenkezőleg azt használja ki, hogy a webhelyünk bízik a felhasználóiban. Így akár egy képpel lehet szimulálni egy kérést bármely olyan funkcióra az oldalon, amely GET lekérdezést használ, úgy hogy az a felhasználó által végrehajtott legitim műveletnek tűnik a szerver oldali program számára.
