PHP 5.2 lansert

av Espen Andersson — 9. november 2006 — kategorisert i Generelt IT-stoff — 2 kommentarer

2. november ble PHP 5.2.0 sluppet og er en svært lovende lansering som byr på mang en godbit. Forruten hundretalls bugfikser og optimaliseringer, tilbyr PHP nå verktøy for validering av input som standard.

Dette betyr med andre ord at validering av f.eks. e-post- og nettsideadresser er uendelig mye enklere. Om man ønsker å sjekke gyldigheten av en e-postadresse, kan man nå skrive:

<?php
    if(filter_var('min@epost.no'FILTER_VALIDATE_EMAIL)) {
        echo 'E-postadressen er gyldig';
    } else {
        echo 'Ugyldig input';
    }
?>

Jeg antar at tanken bak implementeringen av dette rett inn i PHP er ment som et tiltak for å øke sikkerhetnivået blant scriptere generelt. Det er ikke noe nytt at sikkerhet ofte er en nedprioritert eller misforstått oppgave blant mange (unge) utviklere. Noe av årsaken til dette er nok at det er en tidvis kompleks oppgave å skrive kode som godkjenner nettopp det du ønsker (alá whitelisting) og at det krever både tid, kunnskap og vilje til å skrive sikker kode.

Et mulig scenario noen år frem i tid når PHP 5.2> er blitt vanlig i bruk, er endringer i hva som er tillatt i e-postadresser. Det er ikke noe nytt at enkelte webhoster er fryktelig trege til å oppgradere programvaren, noe som kan bli og sannsynligvis vil bli veldig merkbart. Se for deg at f.eks. dollartegn blir lovlig i e-postadresser. Om man som utvikler baserer valideringen på sin egen kode ville dette vært en enkel fiks, men om man bruker de innebygde filterene vil man måtte vente på at PHP inkluderer denne endringen i koden sin og at webhosten oppgraderer. Dette kan gå på et par dager, men vil i de fleste tilfeller ta mellom et par måneder og kanskje også år.

Spørsmålet jeg sitter igjen med er hvilken nytteverdi dette egentlig har. Kan en mulig løsning være at php.net hoster en regexp-fil som oppdateres etter behov som webhostene kobler seg opp mot med jevne mellomrom?

RSS Kommentarer (2)

# – av Lasse G. Dahl – 9. november 2006

Hmm - endringer i hva som er tillatt i e-postadresser, tror jeg neppe vi vil få. Det er litt for mye som vil brekke hvis man finner på noe slikt, og det er for mange gode grunner til at vi har den standarden vi har. Erfaringene med innføringen av IDN tilsier vel også at vi bør la ting være som de er?

I alle fall håper jeg det … :-)

# – av Erlend Klakegg Bergheim – 13. november 2006

Flott tilskudd til funksjonaliteten i PHP. PHP tar på alvor de vanligste feilene som er å finne blant utviklere/scriptkidies som ikke alltid er med på hva de egentlig gjør. Spørsmålet blir da om de faktisk begynner å bruke denne nye muligheten.

Jeg må være enig med Lasse, å se endringer i tillatte tegn i eposter kommer nok ikke med det første, og skulle det vise seg at det kommer vil det nok bli oppmerksomhet rundt det i god tid før det settes i verk, og dessuten er det nok ikke så veldig mange som ønsker å begynne å bruke noe nytt bare fordi det er nytt. Tror faktisk ikke jeg kjenner til noen som benytter seg av mulighetene etter den siste oppdateringen.

Nå er det bare til å vente til webhotellene oppgraderer. Jeg ser at Debian har PHP 5.2 i sin unstable-versjon, så det blir nok testet innen rimelig tid… :D



Legg til kommentar


— Ingen HTML
— [em], [b], [u]
— [quote], [quote=navn]
— [url], [url=]

 
 
Grunnet omfattende spamangep må førstegangskommentatorer godkjennes manuelt. Vennligst ikke lagre samme kommentaren flere ganger om den ikke vises umiddelbart.