Лучшие статьи

Скрытие PHP
Простая техника может помочь спрятать PHP, усложняя работу хакера, пытающегося найти бреши в вашей системе. Установив expose_php = off в вашем файле php.ini, вы уменьшите количество доступной ему информации.

PHP (рекурсивный акроним для "PHP: Hypertext Preprocessor") это широко распространённый Открытый ресурс - язык скриптинга (сценариев) общего назначения, который создан специально для Web и который можно внедрять в HTML.

В настоящее время БД являются ключевыми компонентами любого web-приложения, давая web-сайтам возможность предоставлять разнообразное динамическое содержимое. Поскольку в таких БД может храниться очень секретная или высокоточная информация, вы должны предусмотреть их основательную защиту.

Безопасность файловой системы
PHP это субъект системы безопасности, встроенной в большинство серверных систем, с учётом разрешений на доступ к файлам и на базе директорий. Это позволяет управлять тем, какие файлы можно читать в файловой системе. Нужно проявлять осторожность при чтении любых файлов, чтобы гарантировать безопасность при чтении любыми пользователями, имеющими доступ к данной файловой системе.

PHP это мощный язык и интерпретатор, подключён ли он к web-серверу как модуль или запускается как отдельный двоичный CGI. Он способен выполнять доступ к файлам, исполнять команды и открывать сетевые соединения на сервере. Эти свойства делают всё запускаемое на web-сервере небезопасным по умолчанию. PHP разработан специально как более безопасный язык для написания CGI-программ, чем языки Perl или C, с корректным выбором опций конфигурации времени компиляции и времени выполнения, удобным кодированием, что даёт вам сочетание свободы и необходимой защищённости.

Файл конфигурации (php3.ini в PHP 3.0 и просто php.ini в PHP 4.0) читается при старте PHP. Для версий серверных модулей PHP это происходит один раз при старте web-сервера. Для CGI и CLI-версий это происходит при каждом вызове.

Данные, отправляемые пользователем
Самые большие дыры во многих PHP-программах зависят не столько от самого языка, сколько от кода, написанного без учёта обеспечения безопасности. Соответственно, вы всегда должны выделять время для исследования влияний на данный участок кода, чтобы знать о возможном вреде, который может нанести отправка в него переменной с нестандартным значением.Пример 4-17. Опасное использование переменных

В PHP 4 (не в PHP 3) имеется конструкция foreach, напоминающая аналоги из Perl и некоторых других языков. Она даёт простой способ итерировать по массиву. Есть два вида синтаксиса: второй является расширением первого и используется реже:

foreach(array_expression as $value) statement
foreach(array_expression as $key => $value) statement

Возможные атаки
Использование PHP как двоичного CGI это опция установки, когда, по некоторым соображениям, нет желания интегрировать PHP как модуль в программу-сервер (такую как Apache) или когда PHP будет использоваться с различными видами CGI-оболочек для создания для скриптов безопасной среды chroot и setuid. Такая инсталяция обычно заключается в установке исполняемого файла PHP в директорию cgi-bin web-сервера.

Имеются две строковые операции. Первая - операция конкатенации ('.'), которая возвращает объединение из правого и левого аргументов.

Область видимости переменной это контекст, в котором она определяется. Как правило все переменные PHP имеют единую область видимости. Эта единая область видимости включает также include и required/необходимые файлы. Например:

$a = 1;
include "b.inc";

Введение
Эти функции дают возможность работать с массивами различными способами. Массивы очень удобны для хранения, обслуживания и работы с наборами переменных.

Поддерживаются одно- и многомерные массивы, могут быть даже массивы, создаваемые пользователем или другой функцией. Имеются специфические функции работы с базами данных (БД), заполняющие массивы данными из запросов БД, и различные функции, возвращающие массивы.

bzwrite - безопасная в двоичном режиме запись в bzip2-файл.

Описание
int bzwrite (resource bz, string data [, int length])

bzwrite() записывает содержимое строки data в поток bzip2-файла, на который указывает bz.

com_release - уменьшает значение счётчика ссылок на компоненты.

com_propset - присваивает значение свойству COM-компонента.

aspell_new - загружает новый словарь/dictionary [не рекомендуется применять].

Описание
int aspell_new (string master [, string personal])

aspell_new() открывает новый словарь и возвращает идентификатор ссылки словаря для использования в других aspell-функциях. Возвращает FALSE при ошибке.

Оператор old_function позволяет объявлять функцию с использованием синтаксиса, идентичного PHP/FI2 (вы только обязаны заменить 'function' на 'old_function'.

Предопределённые константы pcre - константы, определённые в расширении pcre.
Описание
Эти константы определены в расширении pcre и будут доступны только в том случае, если это расширение будет скомпилировано с PHP или динамически загружено на этапе прогона.

Циклы do..while очень похожи на циклы while, но условное выражение проверяется в конце каждой итерации, а не в начале. Главное отличие от регулярных циклов while состоит в том, что первая итерация цикла do..while всегда выполняется (условие проверяется только в конце итерации), а в цикле while этого может и не быть (условие проверяется в начале каждой итерации и, если вычисляе

com_propput - присваивает значение свойству COM-компонента.