Wer oder Was ist Sql injection und was hat das mit dem Dreamweaver zu tun?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
arbeiten
code
eingabe
email
fehler
feld
funktion
hervorhebung
jemand
leute
muster
nutzen
sagen
sicherheit
string
syntax
team
vergessen
zahl
zeichen
-
ralf-sommer schrieb:
Ach so, deswegen sind auch so viele, die ich kenne, der Meinung, dass Dreamweaver der größte mist ist und das sind mit Sicherheit keine Anfänger!
Entweder wirklich nur mit Notepad bzw. etwas vergleichbarem oder man benutzt etwas mit Syntaxhighliting und evtl. noch Autovervollständigung wie Notepad++ und für den Professionellen Bereich empfiehlt sich dann noch Zend Studio oder das neue Zend Studio for Eclipse.
Ich kann dir recht sicher sagen, dass im professionellen Bereich unter Windows fast immer der Dreamweaver benutzt wird. Was deine "nicht Anfänger" meinen, ist wohl die Erstellung von Seiten über die Live- oder Entwurfsansicht. In diesem Punkt muss ich dir natürlich recht geben. Websiten sollte man selbst schreiben und nicht á la Frontpage mit irgendwelchen halb-fertig-hässlicher-und-scheiß-Code-Lösungen erstellen. Scheinbar hat aber die Gehirnkapazität der "nicht Anfänger" nicht dazu gereicht mal in die Codeansicht zu wechseln ;)
[PS: Immer die selbe Argumentation: Dreamweaver ist scheiß überteuert. Daran kann man klar erkennen, dass es keine Konkurrenz gibt. Wenn es gleichwertige Konkurrenz gäbe, wäre die Software billiger.] -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Mal son bisschen mein Senf auf die Wurst geben :D
1. Dreamweaver ist definitiv für die Nutzung als normalen HTML Editor total überflüssig. Eine normaler Editor mit Syntax Hervorhebung reicht. Ich benutze größtenteils PHPEdit. Syntax-Hervorhebung für PHP, HTML, usw. Ausserdem Projektverwaltung, Autovervollständigung uvm. Dreamweaver ist nur für HTML gedacht (steht jedenfalls in der Beschreibung von Adobe) und hat mit PHP also nix zu tun.
2. Ich benutze Photoshop für Grafiken, PHPEdit für PHP Code und Templates. Mehr braucht man eigentlich nicht.
3. Ich hab noch keinen Professionellen Webdesigner mit Dreamweaver arbeiten sehen.
4. einfach alles mögliche escapen wie nikic es vorgeschlagen hatte ist auch totaler Blödsinn. Wenn du Zahlen in die DB schreiben willst, machst du am besten strval() anstatt den string zu escapen und wenn du ein passwort reinschreibst wirst du es höchstwahrscheinlich eh verschlüsseln. Usw.
5. Wenn du wirklich alles beachtest und keine mögliche Lücke übersiehst, hat man eine 100%ige Sicherheit, zumindest vor SQL Injections, nicht unbedingt vor anderen Fehlern. Müssen ja auch nicht alle im PHP Script sein.
6. strange dein avatar irritiert mich ;D;D
7. Eingaben immer ganz oben zu Escapen ist auch blödsinn und kann genauso Rescourcen verpulvern wie ein Loop der $_POST und $_GET durchgeht. Was ist wenn du vorher prüfen musst ob alles ausgefüllt wurde? Dann hast du alles umsonst ge-escaped..
8. Völliger Blödsinn dass es in CMS' viele SIcherheitslücken gibt nur weil es nicht speziell zugeschnitten is und es unnötige funktionen gibt. Viele CMS' sind einfach nur unvorsichtig programmiert, und der wichtigste Aspekt ist, dass die meisten Open Source sind, und somit jeder nach Fehlern suchen kann !
9. "real programmers machen das alles selber, und zwar in vim/notepad" hört sich gay an und ist nicht unbedingt richtig. Es gibt Leute, die arbeiten im Team.
10. Regex kann man auch für Email felder nutzen, was zur prüfung, ob es eine emailadresse ist, auch ganz nötig ist. da kann man das sogar mit einem regex machen, man prüft ob es vom Aufbau her richtig ist und ob es nur gültige zeichen enthält und wenn nein ist eingabe halt falsch und user muss verbessern.
11. Ich mag keine roten Ampeln.
aufzählungen sind toll =) -
1. Dreamweaver ist definitiv für die Nutzung als normalen HTML Editor total überflüssig. Eine normaler Editor mit Syntax Hervorhebung reicht. Ich benutze größtenteils PHPEdit. Syntax-Hervorhebung für PHP, HTML, usw. Ausserdem Projektverwaltung, Autovervollständigung uvm. Dreamweaver ist nur für HTML gedacht (steht jedenfalls in der Beschreibung von Adobe) und hat mit PHP also nix zu tun.
Der Dreamweaver unterstützt Syntax-Highighting nicht nur in HTML. Ich weiß nicht, wie du das was Adobe hingeschrieben hast misinterpretiert hast, auf jeden Fall ists falsch. Ich kann mit Dreamweaver sehr bequem in HTML, CSS, JavaScript und PHP sowie anderen Websprachen arbeiten.
2. Ich benutze Photoshop für Grafiken, PHPEdit für PHP Code und Templates. Mehr braucht man eigentlich nicht.
Nun, gutes Stichwort Photoshop: Selber sinnloser Streit: Die einen behaupten, dass Profis nur mit PS arbeiten, andere schwören darauf, dass sie noch nie einen professionellen Webdesigner mit Photoshop haben arbeiten sehen, sondern dass alle Pros nur mit Gimp arbeiten.
3. Ich hab noch keinen Professionellen Webdesigner mit Dreamweaver arbeiten sehen.
Ich schon :P
4. einfach alles mögliche escapen wie nikic es vorgeschlagen hatte ist auch totaler Blödsinn. Wenn du Zahlen in die DB schreiben willst, machst du am besten strval() anstatt den string zu escapen und wenn du ein passwort reinschreibst wirst du es höchstwahrscheinlich eh verschlüsseln. Usw.
Ich würde das alles nicht so pauschal sagen. Es gibt Fälle wo es sinnvoll ist, es gibt welche wo es nicht sinnvoll ist. Es ist logisch, dass man ein Passwort vorher nicht escaped nur um es nachher zu md5 oder shaen. Insbesondere bei blutigen Anfängern ist es aber besser ganz am Anfang ne Schleife haben, wo sie alles checken, als das sie nahher das escapen vergessen. Zumindest sehe ich hier bei Lima immerwieder Scripte, die einem wirklich Angst machen. Die ganzen direckten Ausgaben und das unvorsichtige einfügen in Querys. *kotz*
5. Wenn du wirklich alles beachtest und keine mögliche Lücke übersiehst, hat man eine 100%ige Sicherheit, zumindest vor SQL Injections, nicht unbedingt vor anderen Fehlern. Müssen ja auch nicht alle im PHP Script sein.
hat jemals jemand behauptet, dass das nicht so sei? Was mit der nicht-100pro-Sicherheit gemeint war, ist, dass eben niemand perfekt ist und es schon mal passieren kann, dass man in seinen 15k zeilen Code einfach mal vergisst etwas zu escapen.
6. strange dein avatar irritiert mich ;D;D
Das übergehe ich mal.
7. Eingaben immer ganz oben zu Escapen ist auch blödsinn und kann genauso Rescourcen verpulvern wie ein Loop der $_POST und $_GET durchgeht. Was ist wenn du vorher prüfen musst ob alles ausgefüllt wurde? Dann hast du alles umsonst ge-escaped.
Komme mir bitte nicht mit Ressourcen. Deine 0.000000005 ms Zeitersparnis (die Zahl ist ernst gemeint) werden keinen umbringen... ich gehe davon aus, dass du nicht an Milliardenprojekten arbeitest, wo das von Bedeutung wäre?
8. Völliger Blödsinn dass es in CMS' viele SIcherheitslücken gibt nur weil es nicht speziell zugeschnitten is und es unnötige funktionen gibt. Viele CMS' sind einfach nur unvorsichtig programmiert, und der wichtigste Aspekt ist, dass die meisten Open Source sind, und somit jeder nach Fehlern suchen kann !
Genau! Problem und Vorteil bei opensource CMSen ist, dass alle Fehler finden können, zum schlechten oder zum guten.
9. "real programmers machen das alles selber, und zwar in vim/notepad" hört sich gay an und ist nicht unbedingt richtig. Es gibt Leute, die arbeiten im Team.
Ich glaube das war nicht ganz so gemeint. natürlich arbeitet man oft im Team. Und man benutzt auch oft Frameworks. Ich glaube es geht eher darum, dass man den Code selber schreibt und nicht ein Programm ihn generiert.
10. Regex kann man auch für Email felder nutzen, was zur prüfung, ob es eine emailadresse ist, auch ganz nötig ist. da kann man das sogar mit einem regex machen, man prüft ob es vom Aufbau her richtig ist und ob es nur gültige zeichen enthält und wenn nein ist eingabe halt falsch und user muss verbessern.
Ich wollte damit, auf konkret diesen Regex eingehen. natürlich kannst du mit RegExp fast alles prüfen. Dennoch wäre ich auch da immer vorsichtig. Lieber zu viel Spielraum lassen, als zu wenig. Den superkorrekten RFC-Regex kann man sich im Normalfall wegen unnötigen Leistungsverbrauch nicht leisten. Vereinfachte Regexps schließen aber meist etwas ungewöhnliche Emails aus. Mir ist es nicht selten passiert, dass meine Email nicht zugelassen wurde, weil sie einen Bindestrich enthält (@ni-po.com). Und das ist ja noch eine normale Adresse. Zudem beschränken die meisten die Endung auf 4 Buchstaben. Aber was ist mit .museum?
11. Ich mag keine roten Ampeln.
Jop, Induktionsherde sind gut. -
nikic schrieb:
1. Dreamweaver ist definitiv für die Nutzung als normalen HTML Editor total überflüssig. Eine normaler Editor mit Syntax Hervorhebung reicht. Ich benutze größtenteils PHPEdit. Syntax-Hervorhebung für PHP, HTML, usw. Ausserdem Projektverwaltung, Autovervollständigung uvm. Dreamweaver ist nur für HTML gedacht (steht jedenfalls in der Beschreibung von Adobe) und hat mit PHP also nix zu tun.
Der Dreamweaver unterstützt Syntax-Highighting nicht nur in HTML. Ich weiß nicht, wie du das was Adobe hingeschrieben hast misinterpretiert hast, auf jeden Fall ists falsch. Ich kann mit Dreamweaver sehr bequem in HTML, CSS, JavaScript und PHP sowie anderen Websprachen arbeiten.
2. Ich benutze Photoshop für Grafiken, PHPEdit für PHP Code und Templates. Mehr braucht man eigentlich nicht.
Nun, gutes Stichwort Photoshop: Selber sinnloser Streit: Die einen behaupten, dass Profis nur mit PS arbeiten, andere schwören darauf, dass sie noch nie einen professionellen Webdesigner mit Photoshop haben arbeiten sehen, sondern dass alle Pros nur mit Gimp arbeiten.
3. Ich hab noch keinen Professionellen Webdesigner mit Dreamweaver arbeiten sehen.
Ich schon :P
4. einfach alles mögliche escapen wie nikic es vorgeschlagen hatte ist auch totaler Blödsinn. Wenn du Zahlen in die DB schreiben willst, machst du am besten strval() anstatt den string zu escapen und wenn du ein passwort reinschreibst wirst du es höchstwahrscheinlich eh verschlüsseln. Usw.
Ich würde das alles nicht so pauschal sagen. Es gibt Fälle wo es sinnvoll ist, es gibt welche wo es nicht sinnvoll ist. Es ist logisch, dass man ein Passwort vorher nicht escaped nur um es nachher zu md5 oder shaen. Insbesondere bei blutigen Anfängern ist es aber besser ganz am Anfang ne Schleife haben, wo sie alles checken, als das sie nahher das escapen vergessen. Zumindest sehe ich hier bei Lima immerwieder Scripte, die einem wirklich Angst machen. Die ganzen direckten Ausgaben und das unvorsichtige einfügen in Querys. *kotz*
5. Wenn du wirklich alles beachtest und keine mögliche Lücke übersiehst, hat man eine 100%ige Sicherheit, zumindest vor SQL Injections, nicht unbedingt vor anderen Fehlern. Müssen ja auch nicht alle im PHP Script sein.
hat jemals jemand behauptet, dass das nicht so sei? Was mit der nicht-100pro-Sicherheit gemeint war, ist, dass eben niemand perfekt ist und es schon mal passieren kann, dass man in seinen 15k zeilen Code einfach mal vergisst etwas zu escapen.
6. strange dein avatar irritiert mich ;D;D
Das übergehe ich mal.
7. Eingaben immer ganz oben zu Escapen ist auch blödsinn und kann genauso Rescourcen verpulvern wie ein Loop der $_POST und $_GET durchgeht. Was ist wenn du vorher prüfen musst ob alles ausgefüllt wurde? Dann hast du alles umsonst ge-escaped.
Komme mir bitte nicht mit Ressourcen. Deine 0.000000005 ms Zeitersparnis (die Zahl ist ernst gemeint) werden keinen umbringen... ich gehe davon aus, dass du nicht an Milliardenprojekten arbeitest, wo das von Bedeutung wäre?
8. Völliger Blödsinn dass es in CMS' viele SIcherheitslücken gibt nur weil es nicht speziell zugeschnitten is und es unnötige funktionen gibt. Viele CMS' sind einfach nur unvorsichtig programmiert, und der wichtigste Aspekt ist, dass die meisten Open Source sind, und somit jeder nach Fehlern suchen kann !
Genau! Problem und Vorteil bei opensource CMSen ist, dass alle Fehler finden können, zum schlechten oder zum guten.
9. "real programmers machen das alles selber, und zwar in vim/notepad" hört sich gay an und ist nicht unbedingt richtig. Es gibt Leute, die arbeiten im Team.
Ich glaube das war nicht ganz so gemeint. natürlich arbeitet man oft im Team. Und man benutzt auch oft Frameworks. Ich glaube es geht eher darum, dass man den Code selber schreibt und nicht ein Programm ihn generiert.
10. Regex kann man auch für Email felder nutzen, was zur prüfung, ob es eine emailadresse ist, auch ganz nötig ist. da kann man das sogar mit einem regex machen, man prüft ob es vom Aufbau her richtig ist und ob es nur gültige zeichen enthält und wenn nein ist eingabe halt falsch und user muss verbessern.
Ich wollte damit, auf konkret diesen Regex eingehen. natürlich kannst du mit RegExp fast alles prüfen. Dennoch wäre ich auch da immer vorsichtig. Lieber zu viel Spielraum lassen, als zu wenig. Den superkorrekten RFC-Regex kann man sich im Normalfall wegen unnötigen Leistungsverbrauch nicht leisten. Vereinfachte Regexps schließen aber meist etwas ungewöhnliche Emails aus. Mir ist es nicht selten passiert, dass meine Email nicht zugelassen wurde, weil sie einen Bindestrich enthält (@ni-po.com). Und das ist ja noch eine normale Adresse. Zudem beschränken die meisten die Endung auf 4 Buchstaben. Aber was ist mit .museum?
11. Ich mag keine roten Ampeln.
Jop, Induktionsherde sind gut.
1. Nagut mag sein.
2. Gimp ist auch ok, gefällt mir aber nicht.. eigentlich gehts eh nur darum was einem besser gefällt und womit man persönlich besser arbeiten kann. Aber nur für syntax hervorhebung wär mir dreamweaver zu teuer
3. ok
4. naja besser gleich lernen ^^
5. egal :P
6.
7. 0.0005 .. Naja was alles in $_POST und $_GET zusammenkommen kann.. nicht unbedingt milliardenprojekte, aber 1000 visits am tag sind schon drin
8.
9.
10. hm jo
11. Induktionsampeln sind toll. Dicken magnet unters auto und los.
damit wär das ja geklärt ;D
ausser dass strange bitte sein ava ändern soll es irritiert mich xDD -
Nichts hier mit Ava ändern! Das muss so!
So nun aber mal wieder zum Thema. Das man den Dreamweaver nicht unbedingt benötig ist klar, es gibt genug kostenlose Programme, die aber nicht das gleiche können. Es hat schon seinen Grund warum der DW so viel Geld kostet.
Da wäre zum Beispiel die sehr gute LiveVorschau, die sogar mit PHP und anderen Serverside Scriptsprachen funktioniert. Dazu kommt nocht eine recht mächtige AJAX Snippetdatenbank und diverse andere Features die ich nicht mehr missen möchte. Dann wäre da noch das (fast) perfekte Dateimanagement und die Subversion2 Unterstützung, mit der man nativ mehre Versionen einer Datei anlegen kann.
Außerdem werden direkt, includierte Dateien in Shortcuts abgelegt und man braucht nicht mehr lange suchen, bis man die passenden Dateien gefunden hat. Ok keine Autokorrektur für PHP, aber damit kann man leben.
So in Sachen Webdesigner und kein PS oder DW. Kann ich nur sagen das ich seid fast 7 Jahren als Webdesigner arbeite und schon immer PS und den DW verwendet habe. Das Du keinen Webdesigner kennst der mit PS arbeitet, liegt wohl eher an Dir und nicht daran dass kein Pro mit PS oder DW arbeitet. Alle meine Kollegen die ich kenne arbeiten ausschließlich mit den beiden Programmen und einige sogar, wie ich zum Beispiel, mit Fireworks. FW ist einfach wie geschaffen fürs Webdesign, da es PNG´s einfach besser unterstützt als PS und dazu sogar noch um einiges schneller ist.
PS ist gut um Fotos, oder große Texturen zu bearbeiten/erstellen, aber in meinen Augen ist es ungeignet für Webdesign. Da es zu viele Umwege macht um das selbe Ziel zu erreichen. Gut es mag ein paar Leute geben die nur mit GIMP arbeiten, aber das ist eher die Ausnahme und liegt auch eher daran das sie sich die Lizenz für PS oder FW nicht leisten können.
Frameworks sind zwar praktisch, aber meist auch zu sehr überladen. Es werden unnötige oder nicht verwendete Funktionen/Klassen geladen und in vielen Fällen ist man "zu Fuß" einfach schneller, da man keine Frameworksyntax beachten muss. Hab erst neulich an einem Projekt mit gearbeitet das CI verwendet hat und die hatten 80% der Entwicklungszeit mit dem ausbügeln von Fehlern in CI verschwendet. Es gibt zwar auch "saubere" Frameworks, aber die haben meist andere Probleme oder die Entwickler verlangen horende Summen für die Lizenz. Das gleiche gillt auch für CM Systeme. Bisher habe ich kein anständiges CMS gefunden, das sich wirklich zu 100% kontrolieren lässt.
Und kommt mir ja nicht mit Joomla. Diese absolut überladene ******* ist zu nichts wirklich gut zu gebrauchen, da es schon auf einem lokalen Server super träge ist und einfach zu viel Ballast dabei hat. Dazu muss man erst einmal eine eigene Templatesyntax lernen, bis man eigene Designs vernünftig anpassen kann und einige OnBoard Module sind einfach nur für die Tonne.
So nun hab ich den Faden verloren... das war bestimmt der Induktionsherd :P -
:D achso naja ich hab halt noch nie mit dreamweaver gearbeitet und bisauf die AJAX Snippets hat PHPEdit uach alles was du jetzt von deramweaver beschrieben hast..
-
Interessat interessant dreamweafer soll also der größte mist sein. da kann ih nur sagen ich arbeite schon seit ein paar jahren mit dem teil und bin sehr zufrieden damit. Ich geb ja zu das DW keine eierlegende wollmilchsau ist, aber man kann so ziemlich alle arbeiten die beim erstellen einer "normalen HP" anfallen erledigen. wobei php codes auch kein problem darstellen. Und die oben genannten nicht anfänger sollten sich mal etas näher mit DW beschäftigen bevor sie behaupten das ist der größte Mist aber wahrscheinlich ist ihnen das handbuch etwas zu umfangreich, um sich intensiver mit DW zu befassen. so das ist meine meinung zu dem thema als gummibärchen tipper.
-
also:
die funktion preg_match() sollte man mal gehört haben.
wie der kollegan oben schon gesagt hat, so gehts natürlich.
fals du eine domäne da reingeben willst, änderst du das muster einfach:
$muster = "/^www.+[a-zA-Z0-9-_].+[a-zA-Z]{2,4}$/";
falls es eine E-Mail Addy werden soll dann so:
$muster = "/^[a-zA-Z0-9]+[a-zA-Z0-9-_.]@+[a-zA-Z]{2,4}$/";
die funktion sieht dann so aus:
preg_match ($muster , $text)
fals keine übereinstimmung mit dem muster sein sollte gibt die funktion = 0 aus. ist allerdings alles korrekt gibt die funktion mindestens 1 aus.
so kann man mit
if (preg_match ($muster , $text) == 0) {
die ('Fehler!');
}
einfach überprüfen ob die daten richtig eingegebn sind, ansonsten wird mit "die" das skript gekillt.
statt DW benutze ich Scriply (http://scriptly.webocton.de/)
das ist ein Top Editor, mit dem alles super leicht funktioniert.
Beitrag zuletzt geändert: 24.3.2009 17:36:47 von ggamee -
ggamee schrieb:
[...]
Ich flehe einen Admin an das zu löschen!!!!!
Sonst benutzt noch jemand diese RegExps!!!!!
Genau das ist es, wovon ich geredet habe! Leute, die keine Ahnung von regulären Ausdrücken haben, benutzen sie einfach, ohne richtig zu kapieren, was sie machen.
Nochmal: Diese RegExps auf keinen Fall benutzen! -
wieso sollte ein admin diesen beitrag löschen und wieso sollte niemand regex nutzen?
-
vercetti schrieb:
wieso sollte ein admin diesen beitrag löschen und wieso sollte niemand regex nutzen?
Natürlich soll man Regex benutzen!
Abre bitte nicht diese. Die sind nicht nur falsch. Die sind oberst hyper super mega falsch. -
nikic schrieb:
Abre bitte nicht diese. Die sind nicht nur falsch. Die sind oberst hyper super mega falsch.
dann klär doch auf wie sie richtig funzen.
ich habe sie so aus lehrbüchern gelernt.
erklär mal pls wie sonst
-
8. Völliger Blödsinn dass es in CMS' viele SIcherheitslücken gibt nur weil es nicht speziell zugeschnitten is und es unnötige funktionen gibt. Viele CMS' sind einfach nur unvorsichtig programmiert, und der wichtigste Aspekt ist, dass die meisten Open Source sind, und somit jeder nach Fehlern suchen kann !
und wieso entstehen sicherheitslücken? achja, weil da jemand vergessen hat ein eingabefeld gegen ne injection zu sichern. und wie viele leute wollen z.B. anführungszeichen im benutzernamen, falls der webmaster das überhaupt zulässt? ergo: durch weniger zugelassene zeichen eine potentielle lücke weniger. ich habe nie behauptet, dass das ausschließlich so ist.
9. "real programmers machen das alles selber, und zwar in vim/notepad" hört sich gay an und ist nicht unbedingt richtig. Es gibt Leute, die arbeiten im Team.
ich werde anstatt mit einem spammigen smiley von nun an explizit in einer 2-seiten-abhandlung darauf hinweisen, wenn etwas nicht ganz ernst gemeint, sondern im übertragenen sinne zu sehen ist -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage