Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

Na nový verze PHP se snažím upgradovat pravidelně a docela rychle, protože přináší zajímavý a použitelný věci. O constructor property promotion a readonly properties se dočtete na každým druhým blogu, ale mě zajímají i takový ty méně nápadný věci, který se převážně týkají bezpečnosti:

  • Funkce htmlspecialchars() od PHP 8.1 automaticky escapuje i jednoduchý uvozovky (příklad, info)
  • Od PHP 8.0 už nemusíte dělat nic navíc pro obranu proti útoku XML External Entity Injection (XXE), protože pro kompilaci je vyžadována knihovna libxml 2.9.0 nebo novější – a ta má defaulně entity loader vypnutý, takže ho nemusíte vypínat ručně pomocí libxml_disable_entity_loader() (info)
  • Parametry metod a funkcí, ve kterých by se mohlo objevit např. heslo nebo jiný citlivý údaj, půjde od PHP 8.2 označit atributem \SensitiveParameter a budou tak označeny i parametry funkcí a metod samotného PHP (info, příklad, příklad s new PDO)
  • Jednodušší vázání proměnných pomocí metody mysqli_stmt::execute() jako obrana proti SQL Injection od PHP 8.1 a od PHP 8.2 pomocí mysqli::execute_query

Víc informací včetně toho jak řeším bezproblémové upgrady na novější verze PHP i používaných knihoven najdete v mnohem podrobnější přednášce o takovém tom pátečním nasazování nových verzí.

Datum a akce

6. října 2022, 51. sraz přátel PHP v Praze v CareCloudu (délka přednášky 15 minut)

Slajdy

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

HTTPS pro vývojáře a správce
(7.–8. prosince 2022 )

Bezpečnost PHP aplikací
(12.–15. prosince 2022 )