PFZ.nl - PHP Community: Zaterdag 19 november 2011: PFZ workshopdag - PHPFreakz vereniging - Forum - PFZ.nl - PHP Community

LET OP! Je MOET lid zijn van de vereniging PHPFreakz om de workshopdag te kunnen bezoeken. Je bent al lid voor EUR 10,- per jaar, en vanaf nu tot het einde van 2011 kost je nu zelfs maar EUR 5,-! De workshopdag zelf kost EUR 7,50 en is dus alleen voor leden van de vereniging. Wacht dus niet langer en meld je nu aan als lid!

De tweede PFZ workshopdag van 2011 komt er inmiddels weer aan en ook deze keer verwachten we weer een succesvolle dag! Op zaterdag 19 november a.s. kun je in Almere (Transistorstraat 7c) terecht voor een dag vol PHP en gerelateerde onderwerpen. De workshopdag heeft zoals altijd het doel om de leden van onze vereniging een bron van nieuwe kennis te bieden en we proberen dat zo breed mogelijk te doen. Ook deze uitvoering zijn er vele onderwerpen en er is rekening gehouden met alle kennisniveau's. Beveiliging, Frameworks, OOP, en front-end staan dit jaar op de lijst van workshops:

- Mark Kazemier: Refactoring;
- Taco Vader: Web Security 101;
- Mark Jansen / Martin van Petten: html5 en css3;
- Stefan Koopmanschap: Symfony 2.

In tegenstelling tot de voorgaande workshops, is de locatie van onze workshop gesponsord door Unet B.V. Wij mogen in hun kantoor op Transistorstraat 7c in Almere de workshops gaan organiseren.

Helaas kunnen we geen PC's regelen voor de deelnemers, dus het is handig om je eigen laptop mee te nemen, mits mogelijk. Mocht dat niet mogelijk zijn, dan is er altijd nog een optie om in groepen aan de opdrachten te gaan zitten.

Het definitieve programma, inclusief de tijden en beschrijvingen van de workshops, zal later nog online komen. Kun je net zoals de organisatie niet wachten tot het begint? Schrijf je dan nu in!

wat voor een software moet ik op mijn laptop geïnstalleerd hebben voor html5 en css3 workshop

Een webbrowser (liefst een paar versies, denk aan IE, FF, Opera, Safari, zodat je wat verschillen tussen de browsers kunt zien), en een editor. Dat mag kladblok zijn als je dat zelf fijn vindt, Eclipse, Dreamweaver, UltraEdit, wat je maar wilt.

Er komt zoals altijd een Virtual Machine beschikbaar met daarop alle benodigde software, als je daar behoefte aan hebt.

Op 01-11-2011 18:31 schreef Jelrik van Hal:

Er komt zoals altijd een Virtual Machine beschikbaar met daarop alle benodigde software, als je daar behoefte aan hebt.

Ook IE?

voor verschillende versies van IE te testen is het programma IEtester handig. Dit is een programma waar je live verschillende versies van IE kan testen. Ik gebruik dit programma om mijn websites te testen voor IE.

Op 01-11-2011 21:40 schreef andré Gravesteyn:

voor verschillende versies van IE te testen is het programma IEtester handig. Dit is een programma waar je live verschillende versies van IE kan testen. Ik gebruik dit programma om mijn websites te testen voor IE.

Het is een andere discussie, maar dat valt vies tegen, hoor. Bepaalde cruciale verschillen in IE-versies worden niet opgepakt door deze simulator.

Wat zijn zoal de dingen die aan bod komen in de Web security 101 workshop?
Zijn dit voornamelijk de standaard dingen zoals XSS en SQL injectie of ook meer geavanceerde dingen zoals het stelen van sessies e.d.?

We zullen focussen op de standaard zaken waar je wat vanaf moet weten als je een veilige site maakt: SQL injectie, XSS, mail header injection, CSRF, password hashing, dat niveau. De geavanceerdere zaken komen in principe niet aan bod, tenzij er tijd over is. Het stelen van sessies, session hijacking, is natuurlijk wel heel verwant aan XSS (dat is wat er 9 van de 10 keer met een XSS-lek wordt gedaan) en het kan zeker kort besproken worden.

Ik vermoed dat er trouwens binnenkort wel wat méér informatie online verschijnt, waarin meer staat uitgelegd wat de onderwerpen zijn en wie de doelgroep is.

Ter info: Gmail plaatst sommige mails van PFZ in de spambox bij mij. "PFZ Workshopdag najaar 2011 - herinnering" en "Factuur 2011-0739 van PHPFreakz vereniging" heb ik er zojuist uitgevist.

Op 07-11-2011 13:29 schreef Taco V:

We zullen focussen op de standaard zaken waar je wat vanaf moet weten als je een veilige site maakt: SQL injectie, XSS, mail header injection, CSRF, password hashing, dat niveau. De geavanceerdere zaken komen in principe niet aan bod, tenzij er tijd over is. Het stelen van sessies, session hijacking, is natuurlijk wel heel verwant aan XSS (dat is wat er 9 van de 10 keer met een XSS-lek wordt gedaan) en het kan zeker kort besproken worden.

Ik vermoed dat er trouwens binnenkort wel wat méér informatie online verschijnt, waarin meer staat uitgelegd wat de onderwerpen zijn en wie de doelgroep is.

Geen extra informatie meer gezien, erg jammer want nu is het vol.
Dan maar naar 1 van de andere workshops.

Hm, helaas. Er staat daar trouwens wel meer info:
http://www.pfz.nl/ac...-november-2011/

Op 13-11-2011 22:37 schreef Coiler:

Geen extra informatie meer gezien, erg jammer want nu is het vol.
Dan maar naar 1 van de andere workshops.

Je bent van harte welkom bij HTML 5 en CSS 3 ;-)

Zijn er trouwens weer van die lekkere broodjes (of te koop?) of nemen we onze eigen bammetjes mee?

Ik heb er zin in,
Tot zaterdag allemaal!

Hoi Frank,

Op 15-11-2011 11:18 schreef Frank Pietersen (cre8it.nl):

Zijn er trouwens weer van die lekkere broodjes (of te koop?) of nemen we onze eigen bammetjes mee?

Uiteraard verzorgen wij ook de lunch. Dat zit inbegrepen bij het bedrag voor de workshopdag.

Wow, ik zeg dat jullie een goede penningmeester hebben. Weet van een dubbeltje een kwartje te maken!

Heeft ie nog tips waar iedereen gebruik van kan maken ;)

Op 15-11-2011 12:58 schreef Frank Pietersen (cre8it.nl):

Wow, ik zeg dat jullie een goede penningmeester hebben. Weet van een dubbeltje een kwartje te maken!

Heeft ie nog tips waar iedereen gebruik van kan maken ;)

Daarvoor moet je toch echt bij het activiteitenteam zijn. De penningmeester keurt alleen de begroting goed.

edit: of af natuurlijk :)

Ik vertrek met de auto vanuit Drunen over de A59 en daarna A27 naar de workshopdag met verder een lege auto. Als er nog iemand mee wil rijden dan hoor ik het wel.

Ik kan er helaas niet bij zijn, iedereen veel plezier!

Ik en een collega willen nog graag naar deze workshop dag. Ik heb al een account en ik heb me aangemeld voor de vereniging. Het geld is door middel van van overboeking gisteren overgemaakt. Ik kan me nog niet aanmelden voor deze dag, omdat de betaling nog niet is ontvangen? Mijn collega heeft een account aangemaakt, maar de validatie code werkt niet. Dus hij heeft gemaild.

Nu zijn we dus allebei nog niet ingeschreven en willen nog wel graag gaan. Kan iemand ons helpen?

Op 17-11-2011 12:39 schreef Peter van der Velden:

Ik en een collega willen nog graag naar deze workshop dag. Ik heb al een account en ik heb me aangemeld voor de vereniging. Het geld is door middel van van overboeking gisteren overgemaakt. Ik kan me nog niet aanmelden voor deze dag, omdat de betaling nog niet is ontvangen? Mijn collega heeft een account aangemaakt, maar de validatie code werkt niet. Dus hij heeft gemaild.

Nu zijn we dus allebei nog niet ingeschreven en willen nog wel graag gaan. Kan iemand ons helpen?

Uiteraard. Ik zal even via de e-mail contact met je opnemen, dan handelen we het daar verder af.

Voor de liefhebbers, er zijn nog een aantal plaatsen bij Refactoring van Mark Kazemier en HTML 5 / CSS 3 van Martin van Petten en ondergetekende. Grab the seats while they are still hot!!

Ik kijk erg uit naar de workshop morgen.
Heb zojuist de virtuele machine binnengehaald en getest, nog even het bureaublad opruimen en ik ben er klaar voor.

Morgen half 9 vanuit het noorden vertrekken richting Almere.

Ik vond het weer een erg geslaagde dag!

Mijn slides zijn hier terug te vinden:
http://www.slideshar...ty-101-10242134

De hack van HBGary is hier na te lezen:
http://arstechnica.c...hbgary-hack.ars

@Taco: Pagina 13 is een slecht voorbeeld, de PHP-functie mysql_query() zal hier een foutmelding op geven: SQL injection is niet mogelijk met een 2e query. Gebruik mysqli of PDO wanneer je dit wilt aantonen, of een totaal ander statement. Een gebrek van de MySQL-driver, werkt hier in het voordeel van de luie/domme programmeur... Wat niet wil zeggen dat SQL injection niet mogelijk is, hooguit dat de mogelijkheden iets worden beperkt.

Dat klopt, dat hebben we ook besproken tijdens de workshop zelf. Het voorbeeld zal in dit geval niet werken maar de referentie naar een leuk stripje woog daar wel tegenop. Ook laat het het basis-idee zien: de string die je naar de database stuurt van betekenis laten veranderen door een slimme "naam". Overigens is de beperking zover als ik weet opzettelijk ingebouwd, al kan ik dat nergens meer vinden. :)

Op 20-11-2011 18:33 schreef Taco V:

Dat klopt, dat hebben we ook besproken tijdens de workshop zelf.

Gelukkig!

Quote

Het voorbeeld zal in dit geval niet werken maar de referentie naar een leuk stripje woog daar wel tegenop. Ook laat het het basis-idee zien: de string die je naar de database stuurt van betekenis laten veranderen door een slimme "naam".

Had mysqli gebruikt, die kent deze beperking niet.

Quote

Overigens is de beperking zover als ik weet opzettelijk ingebouwd, al kan ik dat nergens meer vinden. :)

Leuk bedacht, maar tot MySQL versie 4.1 was het toch echt een ontbrekende functionaliteit, niet iets waar men bewust voor heeft gekozen. De PHP-functies linken direct aan de C-functies (met dezelfde naam) om met de database te communiceren en hadden gewoon hun beperkingen. CLIENT_MULTI_STATEMENT en CLIENT_MULTI_RESULTS zijn met versie 4.1 geintroduceerd in de C api, PHP heeft hier bij mijn weten alleen niks mee gedaan. Maar dat kan ik mis hebben, ik heb het nooit getest. Met de improved driver is deze beperking in elk geval opgelost.

Op 20-11-2011 22:21 schreef Jason:

Leuk bedacht, maar tot MySQL versie 4.1 was het toch echt een ontbrekende functionaliteit, niet iets waar men bewust voor heeft gekozen. De PHP-functies linken direct aan de C-functies (met dezelfde naam) om met de database te communiceren en hadden gewoon hun beperkingen. CLIENT_MULTI_STATEMENT en CLIENT_MULTI_RESULTS zijn met versie 4.1 geintroduceerd in de C api, PHP heeft hier bij mijn weten alleen niks mee gedaan. Maar dat kan ik mis hebben, ik heb het nooit getest. Met de improved driver is deze beperking in elk geval opgelost.

Nou is wikipedia niet de beste bron, maar toch:

Quote

While most SQL server implementations allow multiple statements to be executed with one call in this way, some SQL APIs such as PHP's mysql_query(); function do not allow this for security reasons. This prevents attackers from injecting entirely separate queries, but doesn't stop them from modifying queries.

http://en.wikipedia....i/SQL_injection

Op 20-11-2011 16:12 schreef Taco V:

Ik vond het weer een erg geslaagde dag!

Mijn slides zijn hier terug te vinden:
http://www.slideshar...ty-101-10242134

De hack van HBGary is hier na te lezen:
http://arstechnica.c...hbgary-hack.ars

Bedankt voor het uploaden. De slides zijn toch net iets uitgebreider dan mijn aantekeningen. ;)

Op 21-11-2011 08:39 schreef Sjors van der Pluijm:

Nou is wikipedia niet de beste bron, maar toch:

http://en.wikipedia....i/SQL_injection

+1

Dat is zeker geen beste bron, MySQL durft dit zelf niet zo te stellen. MySQL stelt dat beveiliging tegen SQL injection de taak is van de programmeur (in zijn applicatie) en niet van de connector:

Quote

In the first line, your application is responsible for input filtering and validations.

http://forge.mysql.c...iki/PHP_MYSQLND