Weblog van Tri Pham

Momenteel ben ik bezig met een nieuw artikel, "PHP beveiliging in het wild". Met dit artikel wil ik een aantal beveiligingspunten aankaarten. Zo ga ik geavanceerde XSS technieken, CAPTCHA, nieuwe input vectoren en AJAX behandelen.

Klinkt spannend en dat is het ook. Wanneer het artikel af is weet ik niet, ik hoop binnen 6 weken.

Ik zie laatste tijd steeds meer PHP scripts die een CAPTCHA
validatie hebben. Met gebruik van GD wordt een random string
weergegeven op een afbeelding. Vervolgens wordt de random string in een
sessie variabel gestopt.

Op de volgende pagina, meestal na een POST request, wordt de controle gepleegd. Net daar is er iets goeds mis (soms ook bij random aanmaken van de string, maar dat terzijde).

Bij AJAX heb je nog wel eens cache problemen, je pagina is dan opgeslagen in je cache. Ik heb een simpele oplossing gevonden om dit te vermijden.

Zet achter elk link een random tekenreeks. Je browser ziet dat deze pagina nog niet is gecached omdat elk URL een unieke token heeft. Dus page.php?id=1337&token=<random_string>

Voila :-)

PHPFreakz is weer een artikel rijker. Ik heb een artikel geschreven over Data Objecten in PHP. Het artikel is hier te vinden. Zonder mijn weten is het artikel online geplaats. Ik vroeg eerder om een review van het artikel maar nu staat hij toch online. In de loop van de week zal een nieuwe versie online komen met verbeteringen!

Zo, nieuw turf. Voortaan is de weblog hier te vinden op http://weblog.tripham.nl/!