PHP

PHP ist eine einfach zu erlernende Skriptsprache die vorrangig für dynamische Webinhalte verwendet wird. Daneben kann es allerdings auch auf der Kommandozeile (php-cli) und mit clientseitigen GUI-Anwendungen (http://gtk.php.net) benutzt werden.

• Entwickeln mit PHP

PHP ist in zwei Versionen in den Paketquellen enthalten, PHP5 und PHP4. Nicht allen PHP-Skripten ist es egal, unter welcher Version sie ausgeführt werden. Viele aktuelle PHP-Skripte brauchen mittlerweile PHP5, viele alte sind nur kompatibel zu PHP4. Hier muss man sich informieren, welche PHP-Version man installiert haben muss. Üblicherweise sind jedoch alle aktuellen Skripte inzwischen an PHP5 angepasst.

# packages.sury.org
deb https://packages.sury.org/php/ jessie main

wget https://www.dotdeb.org/dotdeb.gpg
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg

fcgi:

apt install php7.2 php7.2-cgi php7.2-cli php7.2-curl php7.2-gd php7.2-imagick php7.2-json php7.2-mcrypt php7.2-mysql php7.2-pspell php7.2-readline php7.2-tidy php7.2-apcu

mod_php

apt install libapache2-mod-php7.2 php7.2 php7.2-cli php7.2-curl php7.2-gd php7.2-imagick php7.2-json php7.2-mcrypt php7.2-mysql php7.2-pspell php7.2-readline php7.2-tidy php7.2-apcu

Standard-PHP-Auswahl auf 5.6 setzen:

update-alternatives --query php
update-alternatives --set php /usr/bin/php5

Die alten PHP-Version, kann man über das Paket php5 installieren.

Bei der Installation von PHP wird auch automatisch das passende Modul für den Webserver Apache installiert. Sollte bei der Installation dieses Paket nicht hinzugefügt worden sein, so kann man diese Pakete nachinstallieren.

• libapache2-mod-php5 - für PHP5 als Modul mod_php (alles läuft unter der UID vom Webserver, z.B. www-data)
• libapache2-mod-suphp - UID für unterschiedliche Benutzer setzen
• PHP-FPM als fast-cgi-Ersatz

Wenn nach der Installation von Apache und PHP die PHP-Dateien nicht angezeigt sondern nur heruntergeladen werden, so kann es sein, dass das Apache Modul nicht ordentlich aktiviert wurde:

a2enmod php5

.

Als Datenquelle für viele PHP Skripte dienen MySQL Server. Zusammen mit Apache und PHP macht das dann einen LAMP Server (Linux, Apache, MySQL und PHP). Die Anbindung an MySQL kann über dieses Paket installiert werden:

• php5-mysql

Eine weitere Datenquelle für die PHP-Skripte kann auch ein PostgreSQL-Server benutzt werden. (mehr)

Es gibt noch zahlreiche andere nützliche Erweiterungen für PHP, die einfach aus den Quellen installiert werden können. Für PHP5 sind dies unter anderem:

• php5-cgi - CGI-Skripte ausführen.
• php5-curl - Curl-Unterstützung (Damit kann man Dateien über verschiedene Protokolle übertragen.)
• php5-gd - Bilder generieren und manipulieren mit PHP (z.B. für Prozentanzeigen).
• php5-imagick (universe) - Bilder per Imagemagick manipulieren.
• php5-imap (universe) - IMAP-Unterstützung.
• php5-pgsql - Das Gleiche wie php5-mysql, nur für das Datenbanksystem PostgreSQL.
• php5-sqlite3 (universe) - Daten per PHP in einer sqlite3 Datenbank ablegen.
• php5-cli - PHP-Skripte über die Konsole ausführen

in der php.ini:

; Maximum allowed size for uploaded files.
upload_max_filesize = 40M

; Must be greater than or equal to upload_max_filesize
post_max_size = 40M

Siehe http://www.php.net/manual/de/install.unix.debian.php und nach Paket-Anbieter „Guillaume Plessis“ suchen. Hier ist immer das aktueller PHP mit allen Zusatz-Paketen verfügbar. Vor dem Upgrade Apache stoppen.

deb http://packages.dotdeb.org stable all

• de.comp.lang.php.* FAQ
• PHP project resources
• Die Entwicklung von PHP 5.4 im Überblick

• SelfPHP
• PHP für dich (PHP-tutorial)
• Practical PHP Programming
• Wikibooks: Websiteentwicklung: PHP
• PHP-Tricks
• SELFPHP PHP Kochbuch PHP 5 Praxis
• Einfacher Einstieg in PHP
• http://www.tutorialized.com/tutorials/PHP/1
• Php-Tutorial von Quake.net
• How to develop multilingual, Unicode applications with PHP
• ein PHP Handbuch

• Gesundes Misstrauen - Sicherheit von Webanwendungen

• PHP-resource.de
• phparchiv.de
• Skript Archiv
• artmedic Freeware PHP-Scripts
• Script-Fundgrube

• kurze Übersicht zu PHP (teilweise Quelle dieses Artikels)
• phpXref - a PHP cross referencing documentation generator
• PHP5 Vs. CakePHP Vs. RubyOnRails?

Erste Regeln:

• Benutzerein- und allgemein (z.B. Funktionen strip_tags(), htmlspecialchars()), escapeshellarg().
• gegen XSS- (Ausgaben filtern!) und
• SQL-Injection-Angriffe absichern (Datenbankspezifische Funktionen, bei mysql mit mysql_real_escape_string() oder bei Oracle mit gebundenen Funktionen (PDO-Erweiterung). Funktioniert ein Anhängen von SQL-Befehlen, z.B. http://URL.TLD/eingabe.php?id=1' SQL Befehl)?
• Konstruktion von Dateinamen mit realpath() oder basename()
• Sessions absichern: session_regenerate_id() bei jeder Änderung der Berechtigungsstufe. Speicherort der Session-Dateien in eigenes Verzeichnis verlegen: php_value session.save_path /Pfad/zu/SeesionDateien . Am besten Sessions über eine Datenbank verwalten und keine Datei verwenden (erfordert eigene Funktionen für die Sessionverwaltung).
• Dateiuploads misstrauen (Dateinamen: is_uploaded_file() move_uploaded_file()
• Dateirechte beim erzeugen gleich richtig setzen:umask(077)
• lieber eingebaute Funktionen benutzen als Befehle auf der Shell auszuführen
• Variablen initialisieren

Evtl. deaktiviert man auch ganze Funktionen (global in der php.ini z.B. mit disable_functions = system): all-inkl (ein Hosting-Anbieter) deaktiviert z.B. exec(), system(), passthru(), shell_exec(), popen(), escapeshellcmd(), proc_open(), proc_nice(), ini_restore(), eval() ist auch nicht ganz ohne.

man sollte niemals von Benutzern eingegebene Werte mit eval(), preg_replace() incl. /e-Option oder an Systembefehle (wie system(), popen(), passthru() und den Backtick-Operator (``) übergeben.

So etwas muss man letztendlich aber im Anbetracht der Nutzer und den eingesetzten Anwendungen entscheiden.

Tip: Die PHP-Version eines Webservers lässt sich mit dem Aufruf einer beliebigen php-Datei z.B. index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 aus den Response-Headern auslesen (z.B. X-Powered-By: PHP/4.4.4).

• PHP-Anwendungen individuell absichern
• Hardened PHP-Projekt bietet einen Hardening-Patch. Er ist allerdings nicht binärkompatibel zum orginalen PHP
• dafür gibt es Suhosin (Suhosin (Debian) HowTo)
• Securityfocus: Securing PHP
• Re:Not up-to-date on PHP security
• PHP-Sicherheit: Vorsicht vor popen() und proc_open(

• [Update] PHP on Fire: Five Opcode Caches compared.
• Benchmarking PHP accelerators

Benutzbar bis incl. PHP-Version 5.4 (Debian Wheezy).

• APC
• APC Gui

Installation:

aptitude install php-apc && /etc/init.d/apache2 reload

Statistiken anzeigen:

cp /usr/share/doc/php-apc/apc.php /srv/www/

Ab PHP-Version 5.5 (Debian Jessie).

Installation:

aptitude install php5-apcu && /etc/init.d/apache2 reload

Statistiken anzeigen:

cp /usr/share/doc/php5-apcu/apc.php /srv/www/

Der PHP Zend Optimizer ist Teil der Zend Plattform die auch debugging und monitoring leistet.

• http://www.zend.com/store/products/zend-optimizer.php
• Zend installieren

• Turck MMCache ist ein PHP-Beschleuniger, -Optimierer, -Encoder und dynamischer Content-Cache. Turck MMCache erhöht die Performance von PHP-Scripts indem sie im kompiliertem Status gecacht werden, so das der bei der Kompilierung entstehende Overhead praktisch komplett eliminiert wird. Es verwendet auch einige Optimierungen, welche die Ausführung von PHP-Scripts beschleunigen. In der Regel wird die Ausführungsgeschwindigkeit von PHP-Script um den Faktor 1-10 erhöht.

• eAccelerator: „free open-source PHP accelerator, optimizer, and dynamic content cache“ Ableger von Turck MMCache

ionCube Encoder ist kommerziell und versucht den Code zu verstecken und vor Veränderung zu schützen. Dabei optimiert er auch etwas, aber alles in allem dafür nicht wirklich zu gebrauchen.

XCache Homepage

• 301 moved permanently (redirect):

  <?php 
  header('HTTP/1.1 301 Moved Permanently');
  header('Location: http://www.example.com');
  die();
  ?>

• 302 moved temporarily (redirect):

  <?php 
  header('Location: http://www.example.com');
  die();
  ?>

• 404 Page Not Found:

  <?php 
  header('HTTP/1.1 404 Not Found');
  ?>

• Service not avaliable:

  <?php 
  header('HTTP/1.1 503 Service Temporarily Unavailable');
  header('Status: 503 Service Temporarily Unavailable');
  header('Retry-After: 60');
  ?>

• Content-Type setzen (hier CSS):

  <?php
  header('Content-Type: text/css');
  ?> 

• Cache (zwingt Browser Dateien nicht zu cachen):

  <?php 
  header('Expires: Sat, 26 Jul 1997 05:00:00 GMT');
  header('Cache-Control: no-store, no-cache, must-revalidate');
  header('Cache-Control: pre-check=0, post-check=0, max-age=0');
  header ('Pragma: no-cache'); 
  ?>

• Download dialog:

  <?php 
  header('Content-Disposition: attachment; filename=' . urlencode($f));   
  header('Content-Type: application/force-download');
  header('Content-Type: application/octet-stream');
  header('Content-Type: application/download');
  header('Content-Description: File Transfer');            
  header('Content-Length: ' . filesize($f));
  echo file_get_contents($f);
  ?>

• Authentifizierung (Browser öffnet ein Benutzername/Passwort-Dialog) - funktioniert nur wenn PHP als Apache-Modul läuft:

  <?php
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
      header('WWW-Authenticate: Basic realm="The Realm"');
      header('HTTP/1.0 401 Unauthorized');
      echo 'If cancel is pressed this text shows';
      die();
  } else {
  //always escape your data//
  $user='user';
  $pass='pass';
     if($_SERVER['PHP_AUTH_USER']==$user && $_SERVER['PHP_AUTH_PW']==$pass){
      echo 'Authorized';
  }
  }
  ?>