O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

21310.3 Unix oder Windows?
10.3 Unix oder Windows?
Alle Konfigurationshinweise, Skripte und Beispiele in diesem Kapitel
richten sich ausschließlich an Anwender Unix-basierter Betriebssys-
teme. Das liegt vor allem daran, dass die unter Unix eingesetzten Rech-
temodelle, also das klassische Benutzer-/Gruppen-Modell, und viele
der verwendeten Systemfunktionen unter Windows schlicht nicht zur
Verfügung stehen. Alle Module und Dateien, deren Sicherheitsmecha-
nismen auf der Vergabe einer neuen Benutzer-ID aufsetzen, funktionie-
ren damit unter Windows nicht.
Viele der vorgestellten Module und PHP-Erweiterungen funktio-
nieren auf Apache-Servern unter Windows nur eingeschränkt. Der
Internet Information Service (IIS) wird praktisch von keiner der hier
präsentierten Lösungen unterstützt – Sie sollten bei der Anschaffung
und Installation eines sicheren Servers auf jeden Fall auf die Unix-
Plattform setzen.
10.4 Bleiben Sie aktuell!
Kurze Release-Zyklen
Die wichtigste Regel für ein sicheres PHP lautet – wie im Grunde über-
all, wo Software eingesetzt wird: Setzen Sie stets aktuelle Versionen
von PHP ein. Bei wenigen anderen freien Softwarepaketen sind die
Release-Zyklen so kurz wie bei PHP, und im Moment werden von den
Entwicklern drei verschiedene Versionen der Skriptsprache gepflegt:
Neben der aktuellen CVS-Version, die die allerletzten Änderungen ent-
hält (»HEAD«) werden zurzeit PHP 5.2 und 5.3 aktiv weiterentwi-
ckelt. Verwenden Sie PHP 4, sollten Sie den sowieso längst überfälligen
Umstieg auf Version 5 nicht länger aufschieben: Die im Januar 2008
erschienene Version 4.4.8 ist laut den Entwicklern die letzte PHP-4-
Version. Ab August 2008 werden nicht einmal sicherheitskritische
Bugfixes mehr eingespielt werden – damit sind Sie ungeschützt, sobald
neue Bugs in PHP 4 entdeckt werden.
Egal, ob Sie PHP 4 oder 5 einsetzen, Sie sollten stets versuchen, die
aktuellste Version einzusetzen. Nur so können Sie sicher sein, dass Ihre
Server nicht durch Probleme in der Zend Engine oder in mitgelieferten
PHP-Erweiterungen verwundbar werden.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required