FAQ

Спецвыпуск Xakep, номер #022, стр. 022-010-4


Что такое PHP?

PHP сначала расшифровывался как Professional Home Page tools, а теперь под этим понимают PHP Hypertext Pre-Processor. То есть PHP - это профессиональный инструмент для гипертекстового предпросчета домашних страничек.

Админов больших порталов парит каждую текстовую статью (из тысяч) заверстывать в HTML со всеми менюшками, баннерами, форматированием, дизайном. Намного проще раз и навсегда сверстать один HTML-шаблон и уже туда подгружать нужные тексты и картинки из базы или из обычных текстовых либо графических файлов. Решение дает PHP. Теперь WEB-мастера могут встраивать в HTML-код небольшие куски на Perl. Вместо того чтобы геморроиться с внешними скриптами, теперь мы посадили их прямо в тело HTML-странички. Когда браузер загружает страничку, встроенный PHP исполняется и подставляет вместо себя нужную инфу. На сервере у нас лежит один HTML, а к пользователю уходит сто его разновидностей. Ведь каждый PHP отвечает за генерацию своего куска HTML-кода в стандартном шаблоне. Пользователь получает стандартный HTML плюс то, что нагенерили скрипты.

Эта технология, конечно, сильно облегчает жизнь WEB-мастерам и одновременно открывает новые возможности для дефейсера. Если сервер умеет запускать скрипты PHP прямо из HTML-заготовки, то остается внедрить свои злобные хакерские скрипты в такую заготовку. Такую возможность предоставляет незащищенная гостевая книга или конференция на сайте. То есть хакер постит в гостевуху свой PHP-скрипт. Скрипт сохраняется в базе, при следующей загрузке гостевухи скриптович исполняется и мылит хакеру файл с паролями. От этого можно защититься, если в PHP запретить скрипты в сообщениях. Только запреты должны быть достаточно изощренные, так как простые запреты обходятся стандартными способами.

Используется ли Perl и PHP на серваках под управлением Windows?

Вообще, у Windows для этих целей используется ASP и VBscript, только Perl с PHP настолько полюбили программисты, что перенесли его на платформу Windows, так же как и юниксовый WEB-сервер Apache. Но к бесконечному хакерскому счастью скрипты под Винды глючат намного круче, чем под никсы. Сломать сервер под управлением Windows намного проще, чем сервак под никсом.

Что такое ASP?

Active Server Page (активная серверная страничка) используется почти так же, как PHP. В HTML-шаблон записываются вставки на Visual Basic script (VBscript) или на JavaScript (JScript). Когда сервер выдает страничку, то скрипты исполняются и заменяют себя на куски HTML-кода. С помощью этой технологии можно намутить базу данных, гостевуху или просто сделать целый сайт на одном HTML-шаблоне. Чтобы не верстать каждый HTML-документ. Кроме виндов ASP поддерживают некоторые никсы, но там оно не родное и используют его редко. Конечно, изучать Перл намного выгоднее, чем вижуалбасик, ведь крутые серваки висят под никсами. Но если хакер решил сломать сервер, на котором крутится ASP, то без VBscript не обойтись. Приколись, некоторые Windows-серваки умеют во вставках ASP понимать Perl! Кстати CGI под винды тоже любят писать на высушилбарсике. Только все больше виндовых серваков переходит на Perl, уж больно геморный барсик.

Назад на стр. 022-010-3  Содержание  Вперед на стр. 022-010-5