Hakowanie RSS feeds
W moich rękach znalazł się właśnie magazyn hakin9, a w nim pokaźny artykuł (bo na 10 stron!!) o tym jak niebezpieczne mogą być skrypty PHP, które obsługują wyświetlanie kanałów informacyjnych typu RSS.
W samym PHP czuję się dość biegle, ale mimo wszystko artykuł ten mnie zaciekawił ze względu na ciekawą tematykę, jak również urywki kodu zamieszczonego w nim. Ja rozumiem, że tego typu magazyn nie będzie prowadzić kursu jak pisać prawidłowe aplikacje PHP z wykorzystaniem najnowszych technik, ale jakieś wzorce programowania powinien trzymać, a nie cofać się.
Szczególnie mój wzrok razi strona 26 i Listing 10. wg. mnie taki mechanizm logowania błędów powinien być osobną klasą w systemie, a nie tylko 2 funkcjami. Inna sprawa, że taki kompleksowy mechanizm logowania błędów w systemie nadaje się na inny osobny artykuł. Więc zaprezentowany przykład 2 funkcji można im przebaczyć, ale na przyszłośc powinni jednak to napisać w klasie, oraz zaprezentować jak tego używać (najlepiej z obsługą wyjątków, bo po to one są).
Co do reszty artykułu, to wydawało mi się, że RSS to po prostu plain text, który dzięki odpowiedniej strukturze XML wyświetla się tak, a nie inaczej w przeglądarce i może być odczytywany przez czytniki RSS.
Daleko szukać – wejdźcie na jeden z RSS moich precli. Czy widzicie gdzieś tam odwołanie do dokumentu XSL, który odpowiada za prawidłowe łączenie i wyświetlanie pobranego dokumentu XML ?? No właśnie… ja także nie widzę, a w artykule hakin9 dość sporo o tym się mówi.
Na początku artykułu napisali parę słów wstępu o tym, że RSS jest często wykorzystywany w stronach typu CMS, itp, ale potem cisza na ten temat… . Czyżby chodziło im o to, że większość (o ile nie wszystkie) CMS są dokumentami w standardzie XML, a newsy, jak również RSS są pobierane z bazy danych? No dobrze, ale w takim razie artykuł nie powinien nazywać się „hakowanie RSS feeds”, a „hakowanie dokumentów XML/XSL”.
Jeśli coś niedoczytałem, badź przeoczyłem to poprawcie mnie :)