Pytania każdy dobry programista PHP powinien być w stanie odpowiedzieć [zamknięty]

Definitywne pytania bezpieczeństwa !

(proste odpowiedzi w tym poście, oczywiście zabezpieczanie aplikacji internetowych php jest znacznie bardziej złożone)

• Jak radzić sobie z SQL injection ?

Mysql_real_escape_string() na początek MySQL. Następnie spróbuj nauczyć się PDO, aby wykorzystać przygotowane oświadczenia i przenośność między dostawcami baz danych.

• Jak radzić sobie z CSRF (Cross-Site Request Forgery) ?

Dodaj token do każdego ważnego żądania, aby zabezpieczyć ważne operacje (użytkownik musiał zobaczyć Formularz przed wysłaniem kluczowego żądania).?

• Jak radzić sobie z XSS (Cross-Site Scripting)?

Htmlentities() jest dobre na początek.

• wariant zastrzyków XXX: wstrzyknięcie LDAP, wstrzyknięcie XPath itp... ?

Musisz wiedzieć, co to jest" słownictwo "używane przez XXX, a następnie odliczyć to, co musisz wyczyścić i / lub"sprawdzić i odrzucić".

• Jaka jest lista sensible funkcje ?

Funkcje interpretujące kod PHP (prawdopodobnie zawarte w zdalnym pliku) lub wykonujące polecenia w systemie. Krótka i niekompletna lista może być: exec (), passthru (), system (), popen (), eval (), preg_replace ()...

• Jak radzić sobie z niebezpieczeństwami dołączania plików ?
• co to jest ścieżka poprzeczna ?
• Jakie jest ryzyko związane z przesyłaniem plików ?

Wymaga dokładnego sprawdzenia parametrów użytych przy otwieraniu pliku lub zdalnego zasoby.

• jak wymusić konfigurację konfiguracji PHP (tzn. czy wiesz jakie jest użycie php.ini)?

To będzie długo, więc pomijam odpowiedź, proszę przeczytać instrukcję PHP.

• o filtrowaniu danych użytkownika: jaka jest różnica międzydezynfekowaniem Asprawdzaniem i odrzucaniem ?

Pierwszy przekształca wpis w coś mniej wrogiego. Drugi sprawdza, czy wpis jest poprawny, a jeśli nie odmawia to.

"dlaczego nie używasz czegoś innego?"

Sorry, ktoś musiał to powiedzieć:)

Czy php jest cross-browser?

(wiem, to sprawi, że wiele osób, ale jest bardziej-zadawane pytanie na forach php!)

Myślę, że dobrym pytaniem byłoby: Jak działa HTTP? Praca z danymi GET i POST wśród innych komunikatów HTTP jest nieodłączną częścią rozwoju PHP. Zrozumienie, jak działa HTTP w szerszym kontekście i jak PHP implementuje to idzie długą drogę.

Jaka jest różnica między = = A = = i dlaczego w ogóle chcesz używać==?

Wyjaśnij dlaczego poniższy kod wyświetla 2.5 zamiast 3:

$a = 012;
echo $a / 4;

Odpowiedź: gdy liczba jest poprzedzona 0 w PHP, liczba jest traktowana jako ósemkowa Liczba (baza-8). Dlatego liczba ósemkowa 012 jest równa liczbie dziesiętnej 10.

Nikt jeszcze nie poruszył tego tematu, ale jest to coś, o czym każdy programista PHP powinien móc mówić obszernie: dlaczego register_globals jest źle?

Gdy strona jest rozwijana przy użyciu php i to jest kompletna bzdura, prawda:

A) błąd PHPs

B) Błąd programistów

Jaka jest najlepsza praktyka unikania wprowadzania danych przez użytkownika? (To pytanie pojawia się często)

• Podczas wywoływania elementu" name " tablicy$, co jest poprawne?:

  • $array[name]
  • $array['name']

  Oba często działają, ale tylko cytowana forma jest poprawna. I patrzeć jak robale latają. Za dużo tego widziałem.

• Jak wymusić, aby Elementy formularza były przesyłane jako tablica?

  Dołączenie pustych nawiasów do atrybutu name: wiele elementów {[3] } zostanie przekonwertowanych na tablicę na serwerze (np. $_POST['checkboxes'][0..n]). Nie wiem. myślę, że jest to w 100% specyficzne dla PHP, ale na pewno przebija pętlę przez {[5] } dla każdego możliwego 'checkboxes'.$i elementu.

• Mysql_, mysqli_, czy PDO?

  Jest tylko jedna naprawdę zła odpowiedź: biblioteka mysql_ nie robi gotowych instrukcji i nie może już usprawiedliwiać swojej zdolności do zła. Nazwanie funkcji, która ma być wywołana wiele razy na wykonane zapytanie, " mysql_real_escape_string()", jest tylko solą w ranie.

"jaki jest Twój ulubiony debugger?"
"Jaki jest Twój ulubiony profiler?"

Rzeczywista aplikacja / ide / frontend nie ma większego znaczenia, o ile wykracza poza " notatnik, echo i microtime ()". Jest tak mało prawdopodobne, że zatrudnisz jednego na miliard dewelopera, który cały czas pisze doskonały kod, a jego testy jednostkowe wykryły wszystkie błędy i wąskie gardła, zanim jeszcze wystąpią, że chcesz kogoś, kto może profilować i / lub przejść przez kod i znaleźć błędy w skończonym czasie. (To prawda prawdopodobnie dla wszystkich języków / platform, ale wydaje mi się, że jest to trochę słabo rozwinięty zestaw umiejętności wśród programistów php, czysto subiektywnie mówiąc)

Terry Chay ma wpis na blogu podsumowujący to, co każdy programista PHP powinien wiedzieć i / lub oczekiwać, że odpowie w pewnym stopniu na rozmowie kwalifikacyjnej.

Http://terrychay.com/article/php-coders.shtml

Myślę, że to świetne podsumowanie.

Zapytałbym coś w stylu:

A) a co z buforowaniem?

B) jak zorganizować pamięć podręczną?

C) czy na pewno nie robisz dodatkowych zapytań DB? (W moich pierwszych rzeczach, które zrobiłem na PHP było to mysql_query wewnątrz foreach, aby uzyskać nazwy użytkowników, którzy zrobili komentarze... straszne :))

D) dlaczego register_globals jest złem?

E) dlaczego i jak należy rozdzielać widok od kodu?

F) jaki jest główny cel "wdrożenia"?

Oto pytania, które nie były jasne w ogóle dla mnie po przeczytaniu kilku podstawowych książek. Dowiedziałem się wszystkiego o zastrzykach i csx, strpos w ciągu kilku dni\tygodni przez tysiące FAQ w Internecie. Ale dopóki nie znalazłem odpowiedzi na te pytania mój kod był naprawdę straszny:)

Dlaczego nigdy nie należy bezpośrednio wysyłać danych wejściowych użytkownika!

Drukowanie takich rzeczy jak dane bezpośrednio z GET może prowadzić do luk w zabezpieczeniach Cross-Site scripting (XSS). Dlatego zawsze należy najpierw wysłać dane wejściowe od klienta za pomocą metody htmlspecialchars ().

Wyjaśnij różnicę

Extract ()

Explode ()

Implode ()

Co jest nie tak z poniższym kodem?

$a = 2;
function foo()
{
    $a = 3;
}
foo();
echo $a;