David Müller: Webarchitektur

Warum URL-Validierung mit filter_var keine gute Idee ist

Publiziert am 10. September 2012 von david

Prefer this in English? Why URL validation with filter_var might not be a good idea

Als uns mit PHP 5.2 die filter_var-Funktion geschenkt wurde, war die Zeit solcher Monster vorbei (hier entliehen):

$urlregex = "^(https?|ftp)\:\/\/([a-z0-9+!*(),;?&=\$_.-]+(\:[a-z0-9+!*(),;?&=\$_.-]+)?@)?[a-z0-9+\$_-]+(\.[a-z0-9+\$_-]+)*(\:[0-9]{2,5})?(\/([a-z0-9+\$_-]\.?)+)*\/?(\?[a-z+&\$_.-][a-z0-9;:@/&%=+\$_.-]*)?(#[a-z_.-][a-z0-9+\$_.-]*)?\$";
if (eregi($urlregex, $url)) {echo "good";} else {echo "bad";}

Die simple, aber effektive Syntax:

filter_var($url, FILTER_VALIDATE_URL)

Als dritten Parameter können Filter-Flags übergeben werden, im Bezug auf die URL-Validierung gibt es die folgenden 4 Kandidaten:

FILTER_FLAG_SCHEME_REQUIRED
FILTER_FLAG_HOST_REQUIRED
FILTER_FLAG_PATH_REQUIRED 
FILTER_FLAG_QUERY_REQUIRED

Dabei sind die ersten beiden FILTER_FLAG_SCHEME_REQUIRED und FILTER_FLAG_HOST_REQUIRED default.

Ans Eingemachte

So, dann schauen wir uns doch mal ein paar kritische Kandidaten an:

filter_var('http://example.com/"><script>alert("xss")</script>', FILTER_VALIDATE_URL) !==

… Den ganzen Post lesen

Veröffentlicht unter php, Security, webdev | 3 Kommentare

PHP WTF #8

Publiziert am 9. September 2012 von david

$array = array(true, null);

var_dump(in_array('', $array)); // true
var_dump(in_array(0, $array)); // true
var_dump(in_array(763, $array)); // true
var_dump(in_array('cheese', $array)); // true
var_dump(in_array(new stdClass(), $array)); // true
var_dump(in_array([], $array)); // true

Tja, PHP und seine automatische Typumwandlung. Wahnsinn, was so alles in dem Array drin ist! in_array bitte nur mit dem dritten Parameter strict auf true benutzen. Sollte ohnehin default sein.

bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

Schon besser:

$array = array(true, null);

var_dump(in_array('', $array, true)); // false
var_dump(in_array(0, $array, true)); // false
var_dump(in_array(763, $array, true)); // false
var_dump(in_array('cheese', $array, true)); // false
var_dump(in_array(new stdClass(), $array, true)); // false
var_dump(in_array([], $array, true)); // false

… Den ganzen Post lesen

Veröffentlicht unter php, PHP-WTF, webdev | 1 Kommentar

Empfehlung: dompdf

Publiziert am 8. September 2012 von david

Neulich stand das Thema „Rechnungsgenerierung per PDF“ auf der Agenda. Da ich im PDF-Business noch ein unbeschriebenes Blatt war, stand erstmal etwas Recherche an. Zuerst habe ich mir FPDF angeschaut. Ganz ordentliche Dokumentation und soweit auch sehr flexibel, die Tutorials sind ein guter Einstieg. Allerdings ist die aktuellste Version vom Juni 2011, FPDF wird nicht mehr weiterentwickelt.

Danach war der Platzhirsch dran: TCPDF. Aktive Weiterentwicklung und extrem mächtig. Die Beispiele zeigen schon, dass mit TCPDF wohl alles möglich ist. Und dennoch, ich hab‘ recht schnell schlechte Laune dabei bekommen:

$pdf->MultiCell(0, 0, $text, 1, 'L', 0, 0, '', '', true);

Ehm, ja.… Den ganzen Post lesen

Veröffentlicht unter php | 6 Kommentare

Windows 8 – neues Feld für Webentwickler

Publiziert am 3. September 2012 von david

In letzter Zeit bin ich vermehrt im Windows 8 – Umfeld unterwegs. Seit Mitte August gibts die finale Version, die als 90 Tage Evaluierungsversion heruntergeladen werden kann, im Geschäft wird Windows 8 ab dem 26. Oktober stehen. Hab mir auch auf die heimische Kiste Windows 8 als Hauptsystem draufgezogen und kann bisher nicht klagen. Klar, die ~~Metro~~ ~~Windows 8-style UI~~ Modern UI ist arg gewöhnungsbedürftig, aber sonst ist Windows 8 ein rundes System.

Mit Javascript aufs Dateisystem

Eigentlich soll es aber nicht um meine privaten Betriebssystemvorlieben gehen, sondern um die Möglichkeiten, die sich durch Windows 8 für Webentwickler eröffnen. Erstmals lassen sich Windows-Anwendungen (zumindest die Apps für die Modern UI) nicht nur mit C# und VB.net,… Den ganzen Post lesen

Veröffentlicht unter Javascript, misc IT | 3 Kommentare

MySQL: Spaß mit float

Publiziert am 20. August 2012 von david

Man nehme folgenden Code:

DROP DATABASE IF EXISTS test;
CREATE DATABASE test;
USE test;
DROP TABLE IF EXISTS test;
CREATE TABLE test (number_double DOUBLE, number_float FLOAT);
INSERT INTO test VALUES (1000000000000000, 1000000000000000);
SELECT number_double, number_float FROM test;

Okay, soweit noch keine Sensation. Wenn man nun aber MySQL dazu zwingt, den konkreten und exponentenfreien Wert rauszurücken, indem man folgendermaßen selektiert:

SELECT number_double * 1, number_float * 1 FROM test;

offenbart sich:

Gleiches Spiel selbstverständlich, wenn ich den Wert per PHP aus der Datenbank heraushole.… Den ganzen Post lesen

Veröffentlicht unter php, Datenbanken, webdev | 4 Kommentare

Javascript in PHP mit der V8-Engine

Publiziert am 19. August 2012 von david

Googles V8-Javascript-Engine kommt u.a. in Chrome und NodeJS zum Einsatz und ist anerkanntermaßen sauschnell. Umgesetzt wird der Sprachstandard ECMA-262 (5th edition), was aktuell „bleeding edge“ ist. Nun gibt es die Möglichkeit, v8 zu experimentellen Zwecken auch mal aus PHP heraus zu bedienen. Dazu liegt v8js als PECL-Paket vor und kann recht schmerzfrei installiert werden. Aber step by step.

v8js installieren

Habe eben unter Ubuntu 12.04 erfolgreich folgendes Prozedere durchgeführt:

sudo apt-get install php5-dev php-pear libv8-dev build-essential
sudo pecl install pecl install channel://pecl.php.net/v8js-0.1.3
sudo echo extension=v8js.so >>/etc/php5/cli/php.ini

Dabei ist 0.1.3 die derzeit aktuellste v8js-Version, also einfach nachschauen was gerade aktuell ist. Soll auch die Apache-PHP-Version v8 abbekommen:

sudo echo extension=v8js.so

… Den ganzen Post lesen

Veröffentlicht unter php, Javascript, webdev | 2 Kommentare

PHP WTF #7

Publiziert am 31. Oktober 2011 von david

Direkt entliehen von hier und ein schönes Beispiel für PHPs Handling mit Unicode-Zeichen:

<meta charset="utf8">
<?php
$a = 'äa';
echo "with space: " . $a[0] . " " . $a[1] . "<br />";  //� �
echo "without space: " . $a[0] . $a[1] . "<br />"; //ä

bzw. analog dazu:

<meta charset="utf8">
<?php
$a = 'äa';
echo "substr 0,1: " . substr($a, 0, 1) . "<br />"; //�
echo "substr 0,2: " . substr($a, 0, 2) . "<br />"; //ä

Klar: Das ä belegt 2 Byte:

<?php
$a = 'äa';
echo "strlen: " . strlen($a) . "<br />"; //3
echo "mb_strlen: " .

… Den ganzen Post lesen

Veröffentlicht unter php, PHP-WTF, webdev | 4 Kommentare

Best-of-the-Web 10

Publiziert am 24. Oktober 2011 von david

Neue Linkwelle!

PHP most watched repositories – Die auf Github meistbeobachteten PHP Repos.
PHP in the Dark: Input/Output – Eingabe / Ausgabe über die Konsole verarbeiten. Parameterverarbeitung etc.
AbsoluteChaos.php – Quellcode bei Github, angelehnt an den Netflix Chaos Monkey
Google Analytics datenschutzkonform einsetzen – Netter Step-by-Step Guide, wie man mit Analytics garantiert auf der sicheren Seite ist.
Programming Languages Reference Sheets – Tolle Gegenüberstellung der meistverwendeten Sprachkonstrukte in zich Sprachen.
Apigee API Console: explore, test and debug APIs – Mit APIs leicht rumprobieren. Foursquare, Facebook, Twitter, LinkedIn … werden angeboten.
Demo des PHPIDS – Hat mir Spaß gemacht, damit rumzuspielen.

… Den ganzen Post lesen

Veröffentlicht unter php, Best of the Web, webdev | Hinterlasse einen Kommentar

Umkreissuche: Lat/Long und der Radius

Publiziert am 17. Oktober 2011 von david

Aufgabenstellung: Ich weiß, wo ich mich befinde (Lat / Long, ist ja aus den Smartphones easy herauszubekommen) und habe einen Radius in km, in dem ich POI’s mit der Open Streemap API suchen möchte.

Problem: Die OSM API bietet keine (mir bekannte) Möglichkeit, um meinen aktuellen Standort herum eine Radius-Suche in km auszuführen, sondern hätte gern eine Bounding Box angegeben, die die Ecken der Box als Geo-Koordinaten angibt – siehe hier:

http://www.overpass-api.de/api/xapi?node[bbox=8.62,49.85,8.68,49.89][amenity=fast_food|pub][@meta]

Dabei spezifiziert der Parameter bbox die Lat/Long-Koordinaten in der Reihenfolge links, oben, rechts, unten.

Dazu erstmal zum Verständnis:

Der Breitengrad (Latitude) gibt die Nord-Südachse an, „50“ ist nördlicher als „49“
Der Längengrad (Longitude) gibt die Ost-Westachse an, „5“ ist westlicher als „6“

Berechnung

Nun haben wir also den eigenen Standort, wissen über Lat/Long Bescheid und wollen die Eckpunkte für die oben angesprochene Bounding Box errechnen.… Den ganzen Post lesen

Veröffentlicht unter php, webdev | 1 Kommentar

Open Streetmap API Tutorial: Umkreissuche

Publiziert am 17. Oktober 2011 von david

Für ein Hochschulprojekt („Ortsbezogene Freizeitgestaltung“) gilt es, die Open Streetmap API zum finden von POI’s in der Umgebung zu verwenden. In Darmstadt ist auf der OSM fast jede Parkbank kategorisiert. Also frisch ans Werk!

API Overflow! – Kurzvorstellung der einzelnen APIs

Die eigentliche OSM-Api (aktuell: v0.6) fokussiert sich eher auf das Erstellen, Bearbeiten und Auslesen von speziellen Punkten. Weniger hilfreich für den Zweck der Umkreissuche.
Die Overpass (X)API macht uns schon glücklicher. Per REST geben wir den Typ der zu suchenden Punkte in einem einzugrenzenden Bereich an. Beispiele folgen.
Die Nominatim API ist am simpelsten zu verwenden: Einfach als Query-Parameter „Pub, Darmstadt“ angehangen und los gehts.

… Den ganzen Post lesen

Veröffentlicht unter php, webdev | 2 Kommentare

Warum URL-Validierung mit filter_var keine gute Idee ist

Ans Eingemachte

PHP WTF #8

Empfehlung: dompdf

Windows 8 – neues Feld für Webentwickler

Mit Javascript aufs Dateisystem

MySQL: Spaß mit float

Javascript in PHP mit der V8-Engine

v8js installieren

PHP WTF #7

Best-of-the-Web 10

Umkreissuche: Lat/Long und der Radius

Berechnung

Open Streetmap API Tutorial: Umkreissuche

API Overflow! – Kurzvorstellung der einzelnen APIs

Hallo!

Kategorien

Blogroll

Neueste Kommentare