Check the online version, I often update my slides.

Talk detail

Na nový verze PHP se snažím upgradovat pravidelně a docela rychle, protože přináší zajímavý a použitelný věci. O constructor property promotion a readonly properties se dočtete na každým druhým blogu, ale mě zajímají i takový ty méně nápadný věci, který se převážně týkají bezpečnosti:

  • Funkce htmlspecialchars() od PHP 8.1 automaticky escapuje i jednoduchý uvozovky (příklad, info)
  • Od PHP 8.0 už nemusíte dělat nic navíc pro obranu proti útoku XML External Entity Injection (XXE), protože pro kompilaci je vyžadována knihovna libxml 2.9.0 nebo novější – a ta má defaulně entity loader vypnutý, takže ho nemusíte vypínat ručně pomocí libxml_disable_entity_loader() (info)
  • Parametry metod a funkcí, ve kterých by se mohlo objevit např. heslo nebo jiný citlivý údaj, půjde od PHP 8.2 označit atributem \SensitiveParameter a budou tak označeny i parametry funkcí a metod samotného PHP (info, příklad, příklad s new PDO)
  • Jednodušší vázání proměnných pomocí metody mysqli_stmt::execute() jako obrana proti SQL Injection od PHP 8.1 a od PHP 8.2 pomocí mysqli::execute_query

Víc informací včetně toho jak řeším bezproblémové upgrady na novější verze PHP i používaných knihoven najdete v mnohem podrobnější přednášce o takovém tom pátečním nasazování nových verzí.

Date and event

October 6, 2022, 51. sraz přátel PHP v Praze v CareCloudu (talk duration 15 minutes)

Slides

Michal Špaček

Michal Špaček

I build web applications and I'm into web application security. I like to speak about secure development. My mission is to teach web developers how to build secure and fast web applications and why.

Public trainings

Come to my public trainings, everybody's welcome:

HTTPS for developers & admins
(December 7–8, 2022 )

PHP application security
(December 12–15, 2022 )