PEAR (PHP Extension and Application Repository) е система за PHP за управление на пакети. Както добре знаете PHP потребителите нараснаха главоломно в последните няколко години и именно поради тази причина започна да се предлага много код във формата на сорс кодове, на готови класове, различни библиотеки и прочее. Но това в крайна сметка е колкото полезно, толкова и неудобно, главно поради причината, че е доста трудно да следите за нови версии на използваните от вас пакети. Представете си, че използвате над 200 пакета и класа – тогава ще ви се налага всеки ден да проверявате 200 сайта дали случайно не се е пръкнало нова версия. Много програмисти се абстрахираха от тази ситуация и започнаха сами да поддържат собствени библиотеки, но това е крайно не оптимизирано от гледна точка на това, че им се налага да откриват топлата вода, при положение, че тя вече е открита. Все пак и този вариант си има своите предимства, но няма смисъл да разказвам за това сега.

В една серия от постове озаглавени „PHP Сигурност“ смятам да споделям различни методи за да подсигурите вашите онлайн приложения. Надявам се те да бъдат полезни както за начинаещи така и за напреднали програмисти, занимаващи се с PHP.

В тази част ще поговря за include на файлове. Всъщност include, require, require_once са невероятни функции на PHP и са изключителни за обекто-ориентирания метод на създаване на сайтове и проложения, а и не само. Масовата практика е файловете, които инклудвате да са с разширение .inc, макар че съм срещал и .inc.php и .php или файл името да започва с долна черта (пример __header.php). В интерес на истината няма голямо значение какво е разширението. Ако желаете може да бъде .vafla-borovec. Обикновено това се прави за удобсто и семантика. Но големия проблем в случая е, че .inc файловете не се изпълняват като скрипт на момента и могат да бъдат видяни като чист текст. Да речем че имате файл с връзка към базата ви данни наречен db.inc. При положение, че не сте подсигурили този файл е вдиим и много лесно ще бъдете хакнати.