why php sucks volume 295

www.yahoo.com altında bilinen, internet adına yapılabilecek her türlü içeriği sunan bir web ortamı olan Yahoo!, yıllardır C/C++ ile geliştirilen altyapısını C/C++ ile geliştirmeye devam etmekten vazgeçip, bundan sonraki geliştirmelerini PHP ile yapmaya karar verdiğini duyurdu. (Bunu da Slashdot`tan duydum :-)

Yahoo'nun yüksek (yüksek dediysem, zurnanın sondan kaçıncı deliği olması babında yüksek diyorum :) mühendislerinden biri olan Michael J. Radwin, PHP Con 2002`de yaptığı bir sunumla niçin PHP'yi seçtiklerini, ve bu seçimi yaparken ne aşamalardan geçtiklerini açıklamış.

Milyar kez tekrar edilmesine rağmen çoğu PHP programcısı aldığı girdiyi güçlü bir doğrulamadan (validation) geçirmeden olduğu gibi kullanmakta, bu şekilde programlanmış popüler PHP tabanlı sistemler (içerik yönetim sistemleri, forum sistemleri, vs.) pek çok saldırıya maruz kalmaktadır.

Timu Eren'in ¹ yazmış olduğu HTML Formlarının PHP Kullanılarak Rastsal Fonksiyonlarla Saldırılara Karşı Korunması konulu yazı bu tür saldırılara karşı ilginç bir tedbir önermekte ve formdaki bilgi alanlarının "name" özniteliklerini rastsal fonksiyonlar kullanıp değiştirmek sureti ile "bruteforce" yani kaba güce, dümdüz otomatik denemelere dayanan saldırıları etkisizi hale getirmeye çalışmaktadır.

PHP Güvenlik Konsorsiyumu tarafından hazırlanmış olan PHP Security Guide, derli toplu şekilde PHP kullanan programcılara güvenlik odaklı programlamayı nasıl yapabileceklerini, dikkat edilmesi gereken şeyleri, saldırı yöntemlerini ve tedbirleri anlatıyor.

Nahoş sürprizlerle karşılaşmaktan hoşlanmayan programcıların başucu kaynaklarından biri olabilecek gibi görünen bu belge dileriz ilgili insanlar için faydalı olur, hatta Türkçeye çevrilse daha çok insan faydalanabilir.

Bir süredir php ders dökümanlarının ikinci serisini hazırlamaya çalışıyordum. Hem talebin artması nedeniyle hem de dosyanın boyutunu fazla yükseltmemek adına aşağıdaki 3 temel döküman ile yeni seriyi tamamlamak istedim:

PHP'de hareketlenmelerin ardından PHP Geliştirici takımı 5.2.1 versiyonunu bugün yayınladı. PHP 5.2.1'de bir çok güvenlik güncellemesi var ve şiddetle öneriyorlar geçmemiz için. Hafıza limiti başta açılmış durumda geliyor artık. str_replace() fonksiyonundaki olabilecek overflow hatası da giderilmiş. Genelde baktığımda bir çok overflow hatası gördüğüm değişiklikler var. Daha fazla ayrıntı isteyenler buraya tıklasın.