Category Archives: PHP security

Full disclosure: multiple critical security vulnerabilities (including a backdoor!) in PHP File Manager

In July 2010 I was looking for a web based file manager that I could use on my own web server. After some research I found the PHP File Manager from Revived Wire Media. A basic, but good looking web … Continue reading

Posted in PHP security, responsible disclosure, security assessment | 36 Comments

Security audits as an integral part of PHP application development

More often than not, web applications start off as a bright idea, which is then brought into realization at a fast and furious pace, with little eye for anything but result. Once all envisioned functionality is incorporated in the design … Continue reading

Posted in PHP security, presentation, security audit, website | Comments Off on Security audits as an integral part of PHP application development

Presentatie op PHPbenelux meeting: Beveiligingsaudits uitvoeren op PHP applicaties

Men begint vaak enthousiast met het ontwikkelen van webapplicaties. Als deze eenmaal de bedachte functionaliteit hebben en net gelanceerd zijn, wordt snel aan het volgende nieuwe project gestart. Een laatste beveiligingscontrole ontbreekt vaak in het proces. Echter blijkt uit de … Continue reading

Posted in PHP security, presentation, security audit | Comments Off on Presentatie op PHPbenelux meeting: Beveiligingsaudits uitvoeren op PHP applicaties

PHP: htmlEntities() and Cross Site Scripting

When printing user input in an attribute of an HTML tag, the default configuration of htmlEntities() doesn’t protect you against Cross Site Scripting (XSS), when using single quotes to define the border of the tag’s attribute-value. XSS is then possible … Continue reading

Posted in cross site scripting, PHP security | Comments Off on PHP: htmlEntities() and Cross Site Scripting

“Implicaties applicatieconfiguratie opslaan in PHP constanten?”

Hieronder mijn antwoord dat ik voor iemand geschreven heb die mij de volgende vraag stelde: “Is het wijs om de applicatieconfiguratie op te slaan in constanten, in plaats van in een array?” Het voordeel van het opslaan van waardes in … Continue reading

Posted in PHP, PHP security | Comments Off on “Implicaties applicatieconfiguratie opslaan in PHP constanten?”

Web Programmer’s Hacking Guide

Ongeveer 80% van de websites op het internet hebben beveiligingslekken. Men denkt over het algemeen dat de software die men schrijft, veilig is. Ik durf het tegengestelde te beweren. Waarom? Omdat programmeurs niet geleerd wordt om veilig te programmeren. Een opmerkelijke … Continue reading

Posted in article, cross site scripting, PHP security, security audit, website | Comments Off on Web Programmer’s Hacking Guide