Category Archives: PHP security

Full disclosure: multiple critical security vulnerabilities (including a backdoor!) in PHP File Manager

In July 2010 I was looking for a web based file manager that I could use on my own web server. After some research I found the PHP File Manager from Revived Wire Media. A basic, but good looking web … Continue reading

Posted in PHP security, responsible disclosure, security assessment | 36 Comments

Security audits as an integral part of PHP application development

More often than not, web applications start off as a bright idea, which is then brought into realization at a fast and furious pace, with little eye for anything but result. Once all envisioned functionality is incorporated in the design … Continue reading

Posted in PHP security, presentation, security audit, website | Leave a comment

Presentatie op PHPbenelux meeting: Beveiligingsaudits uitvoeren op PHP applicaties

Men begint vaak enthousiast met het ontwikkelen van webapplicaties. Als deze eenmaal de bedachte functionaliteit hebben en net gelanceerd zijn, wordt snel aan het volgende nieuwe project gestart. Een laatste beveiligingscontrole ontbreekt vaak in het proces. Echter blijkt uit de … Continue reading

Posted in PHP security, presentation, security audit | Leave a comment

PHP: htmlEntities() and Cross Site Scripting

When printing user input in an attribute of an HTML tag, the default configuration of htmlEntities() doesn’t protect you against Cross Site Scripting (XSS), when using single quotes to define the border of the tag’s attribute-value. XSS is then possible … Continue reading

Posted in cross site scripting, PHP security | Leave a comment

“Implicaties applicatieconfiguratie opslaan in PHP constanten?”

Hieronder mijn antwoord dat ik voor iemand geschreven heb die mij de volgende vraag stelde: “Is het wijs om de applicatieconfiguratie op te slaan in constanten, in plaats van in een array?” Het voordeel van het opslaan van waardes in … Continue reading

Posted in PHP, PHP security | Leave a comment

Artikel gepubliceerd: Webprogrammer’s Hacking Guide

Op PHPFreakz.nl heb ik het artikel Webprogrammer’s Hacking Guide geplaatst. Dit artikel is bedoeld voor webprogrammeurs die veilig willen programmeren of bezorgd zijn over de veiligheid van hun scripts. Het artikel is bedoeld voor zowel beginners als gevorderden en voor … Continue reading

Posted in article, cross site scripting, PHP security, security audit, website | Leave a comment