PHP Guru

Hledám vývojáře PHP

Jan Tichý — Mon, 01 Mar 2010 22:16:05 +0000

Do nově založené vývojářské společnosti hledám dva PHP programátory.

Přihlašování přes Twitter pomocí OAuth

Jan Tichý — Tue, 22 Sep 2009 12:13:17 +0000

Sepsal jsem tutoriálek, jak umožnit svým uživatelům přihlašování do naší aplikace přes Twitter s využitím OAuth. Pro pochopení základních principů OAuth doporučuji například Arthurův článek „OAuth – nový protokol pro autentizaci k vašemu API“. V následujícím textu už jenom ukážu konkrétní praktický postup, to do svého webu implementovat snadno a bezbolestně.

Předávání SID pomocí cookies

Jan Tichý — Fri, 11 Sep 2009 21:07:43 +0000

Jak jsem ukázal v článku „Session ID do URL nepatří“, základním pravidlem je uchovávat a předávat si session ID výhradně s pomocí cookies. Dneska bych rád zmínil některá důležitá nastavení, která s tím souvisí.

Session ID do URL nepatří

Jan Tichý — Fri, 04 Sep 2009 16:15:34 +0000

V článku „Session hijacking aneb ukradení session ID“ jsem předeslal, že předávání SID přímo pomocí parametrů v URL je špatné. Lze na ně totiž použít drtivou většinu všech útoků pro ukradení či podvržení SID, zatímco předávání pomocí cookies je proti mnohým z nich relativně odolné. Pojďme se na to podívat blíže.

Snadná práce s tokeny

Jan Tichý — Wed, 06 May 2009 17:13:45 +0000

Říkal jsem si, že když už několik let vlastně pořádně neprogramuji, že je škoda nechat některé moje knihovny ladem. Že by se třeba mohly někomu hodit. Vytvořil jsem tedy na tomto webu sekci Download, kde to všechno je. Užijte to dle libosti. Tedy všechno… Zatím tam je jenom jedna věc, další možná přibudou časem. A tou jednou věcí je třída pro práci s tokeny.

Sidejacking aneb nasloucháme v síti

Jan Tichý — Mon, 22 Dec 2008 02:38:41 +0000

V předchozím článku jsem zeširoka nakousl session hijacking jako úvod do dalších brzkých dílů. Ale jak už to tak při psaní blogísku bývá s volným časem, je ho čím dál méně, takže pokračování přichází až teď, po třech měsících. No nic, podívejme se na první možnost krádeže Session ID, kterou je Sidejacking čili odchycení SID z běžného sítového provozu.

Session hijacking aneb ukradení session ID

Jan Tichý — Fri, 12 Sep 2008 19:35:54 +0000

Ukradení SID oprávněnému uživateli se obvykle označuje jako Session stealing nebo častěji Session hijacking. Existuje více cest, jak lze SID ukrást a získat tak třeba přístup k účtu daného uživatele. V příštích několika článcích se pokusím uvést všechny důležité útoky a zejména možnosti, jak se lze Session hijackingu v PHP bránit.

Builder party 2008

Jan Tichý — Tue, 03 Jun 2008 11:43:29 +0000

Šťavnatá kýta na rožni opečená. Měkoučké kuřecí masíčko na
jazyku se rozpadající. Čerství pstruzi z Mohelnické sádky na másle
usmažení. Pivo litovelské, Redbull s vodkou i všeliké jiné pochutiny
obecně nezbytné. A banda asociálů, které spojuje podivná šifra
menšítka a otazníčku. Ano, přátelé, Builder party je po
roce opět tady.

Kdy: 26.–27. července 2008
Kde: Kuní
chata v Lošticích

Cože? Že jste ještě na žádné Builder party nebyli? A že vlastně
vůbec [...]

Návrhové vzory na konferenci WebCamp

Jan Tichý — Tue, 25 Mar 2008 11:46:57 +0000

Tento čtvrtek 27. března budu mít v rámci konference WebCamp přednášku na téma Návrhové vzory (Design patterns). Znalost návrhových vzorů a jejich aktivní využívání při práci by dle mého názoru mělo patřit k základnímu vybavení každého profesionálního programátora. Skutečnost je však bohužel jiná.

Aplikační data čistá jako lilie

Jan Tichý — Thu, 06 Mar 2008 15:24:27 +0000

V článku o Cross-site scriptingu jsem se dotkl myšlenky, že není vhodné na začátku skriptu prohánět vstupní parametry funkcí htmlspecialchars(). Doporučoval jsem místo toho aplikovat toto ošetření až bezprostředně při odesílání dat na výstup. Rád bych nyní téma blíže rozvedl. Proč je paušální použití zmíněné funkce na začátku aplikace špatné?