Weblabor

Néhány hete jelent meg - a Kiskapu gondozásában magyar fordításban is elérhető - Advanced PHP Programming című könyv távoli szolgáltatások használatával foglalkozó fejezetének első része webhelyünkön. A PHP fejlesztés felsőfokon címen megjelent könyv ezen fejezete a SOAP technológia ismertetésével folytatódik, rátérve a WSDL praktikáira, majd végül összehasonlítja az XML-RPC és SOAP megoldásokat.

A Weblabor fórumain - és más csatornákon is - időről-időre visszatérő kérdés, hogy miként lehet egyszerűen az Apache és PHP programokat telepíteni Windows vagy más rendszeren. Több operációs rendszerre érhetők el mindent-egyben jellegű telepítők, ezeknél azonban sok szempontból jobb saját kezűleg telepíteni a felesztőkörnyezetet. Egyrészt sokkal jobban tisztába lehet kerülni a telepített eszközökkel, másrészt pedig gépünket csak azok a komponensek fogják terhelni, melyekre tényleg szükségünk van. Lássuk miként érdemes nekiindulni Windows rendszeren.

Nemsokára megjelenik George Schlossnagle Advanced PHP Programming című könyve PHP fejlesztés felsőfokon címmel a Kiskapu kiadó gondozásában. Volt szerencsénk a könyv egy eredeti angol példányát az idei budapesti PHP Konferencián ajándékként átadni, most pedig a magyar kiadó jóvoltából publikálni tudjuk a könyv egyik legjobb fejezetét, melyet sehol máshol nem érhetnek el az érdeklődők digitális formában. Ezúttal a fejezet első - XML-RPC-ről szóló - szakaszát olvashatják az érdeklődők.

Legutóbbi cikkeimben is már a biztonság kérdését feszegettem a munkamenet kezelés kapcsán (Munkamenet kezelés alapjai és Munkamenet kezelés biztonsági kérdései). Ezúttal ezen az ösvényen szeretnék továbbhaladni, és három konkrét támadási móddal megismertetni a kedves olvasót. A cikk olvasása előtt ajánlom sunz hasonló jellegű cikkét (PHP, valamennyire biztonságosabban) mindenkinek, aki elmulasztotta volna, melyben elég széles spektrumban (szerver konfiguráció, programozás technika) kapunk biztonsággal kapcsolatos tanácsokat, ötleteket.

A PHP Tokenizer kiterjesztésről, majd annak kód-zagyváláshoz kapcsolódó felhasználásáról íródott cikkeimet szerencsére nem kis érdeklődés kísérte. Újabb csoportos foglalkozásunkon ezúttal szkriptjeink megrövidítése érdekében vetünk be hatékony terápiás módszereket. Fontos követeleményünk marad továbbra is, hogy kódunk működésében, funkcionalitásában károsodást ne szenvedjen. Várakozásom szerint nem lep meg senkit, hogy ismét a Tokenizer kiterjesztést húzzuk elő varázskalapunkból.

Sokszor felmerül a PHP levelezőlistán, hogy valaki szeretne PHP segítségével HTML levelet, csatolmányokat, HTML levélben képeket küldeni. Cikkemben először a mail() függvény alapjait veszem sorra. Kiderül, hogy néhány fontos paraméter beállítására is lehetőségünk van segítségével, ráadásul akár HTML levelet is igen egyszerűen küldhetünk a segítségével - ha nem gondolunk a szöveges alternatívát igénylő olvasókra. Persze ha többet szeretnénk, akkor jobban tesszük, ha nem találjuk fel a kereket, és a rengeteg lehetőség közül egy olyan kész megoldást választunk, mellyel még több is könnyedén megoldható.

Cikkemben néhány tippet, ötletet szeretnék adni a biztonság témájában. Ez a kérdés sajnos nem volt központi fontosságú, amikor a PHP még gyerekcipőben járt, ezért nem árt néhány olyan beállítással illetve technikával megismerkedni, amelyek ezeket a - részben máig megmaradt - problémákat segítenek megoldani. Az operációs rendszer jogosultságainak megfelelő beállításával és az Apache illetve a PHP néhány opciójának jó megválasztásával sok kellemetlenségtől megkímélhetjük magunkat. Írásom csak kisebb áttekintés az általam legfontosabbnak ítélt dolgokról, bővebb információt a PHP kézikönyv, és a megadott források nyújthatnak.

Akik érdeklődő figyelemmel olvasták a PHP Tokenizer kiterjesztéséről szóló korábbi cikkemet, azoknak minden bizonnyal érdekes csemege lesz az ott bemutatottak felhasználása a kódszépítés helyett a forrás összevazarására, azaz obfuszkálására. Habár kész obfuszkátorok sőt PHP forrás kódolók is rendelkezésre állnak, érdemes egy kicsit elmerülni egy lehetséges megvalósítás részleteiben. Cikkemben ezúttal be szeretnék mutatni egy elég egyszerű obfuszkátort, amely sokmindenki hasznára válhat.

A PHP kétféle idézőjel használatát támogatja, és ráadásul a heredoc megadási módot is alkalmazhatjuk. Sok hiedelem kering azonban arról, hogy ezek közül egyik vagy másik gyorsabb, hatékonyabb eszköz lenne, és kizárólag azt szabad használnunk programjaink írása során. Cikkemben szeretném ezen hiedelmek egy részét megdönteni, valamint bemutatni, hogy egészen kis eszköztárral is igazolhatóak vagy cáfolhatóak az ilyen jellegű állítások, a PHP belső világának ismerete nélkül. Nézzük mire jutunk saját méréseinkkel, ha nekünk "bizonyíték kell, nem ígéret".

A PHP fejlődése során egyre több belső lehetőséget tett elérhetővé a nyelvet használó programozók számára, gondolhatunk itt például a parse_ini_file() függvényre is, mely a php.ini feldolgozó kódot teszi a programozók számára is felhasználhatóvá.

Cikkemben a PHP Tokenizer kiterjesztéséről szeretnék néhány jó szót szólni, mely a PHP belső világát mutatja meg, a nyelvi feldolgozó használatát teszi lehetővé szkriptjeinkben. Szerintem ez az, amit (talán sokan is) kerestek. Írásom a haladóbbaknak szól, tehát aki nem látta még a PHP forráskódját illetve nem fordított PHP-t, annak lehet, hogy megfekszi a gyomrát, tehát csak óvatosan!