Dipl.-Inform. Carsten Eilers

• register_globals - ab PHP 4.2.0 per Default ausgeschaltet, in PHP 5.3.0 als "deprecated" (veraltet) eingestuft, in PHP 5.4.0 entfernt
• allow_url_fopen - direkt nach PHP 4.0.3 eingeführt, um fopen()-Zugriffe über FTP und HTTP ein- bzw. auszuschalten
• allow_url_include - eingeführt in PHP 5.2.0, ausgeschaltet wird damit aus einer Remote File Inclusion eine ein winziges Stück weniger gefährliche Local File Inclusion
• Magic Quotes - gut gemeint, schlecht gemacht und inzwischen abgeschafft: In PHP 5.3.0 "deprecated", in PHP 5.4.0 entfernt
• Safe Mode - ein zweifelhafter Schutz, ebenfalls in PHP 5.3.0 "deprecated", in PHP 5.4.0 entfernt
• open_basedir - seit PHP 5.3.0 zur Laufzeit weiter einschränkbar, wenn die Einstellung in der php.ini zu großzügig ist
• Das klassische MySQL-API, dass die gegen SQL Injection immunen Prepared Statements mit parametriesierten Aufrufen nicht unterstützt, ist seit PHP 5.5.0 "deprecated", sein Ende ist also in Sicht
• password_hash() und Co. - vier neue Funktionen zur sicheren Speicherung und Verarbeitung von Passwörtern: Neu in PHP 5.5.0

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] PHP Manual: Beschreibung der php.ini-Direktiven des Sprachkerns - register_globals
• [2] Carsten Eilers: "File Inclusion: Das Einbinden von Dateien öffnet Schadcode Tür und Tor", PHP Magazin 6.2010
• [3] PHP Manual: Laufzeit-Konfiguration - allow_url_include
• [4] PHP Manual: Magic Quotes
• [5] PHP Manual: Safe Mode
• [6] PHP Manual: Functions restricted/disabled by safe mode
• [7] PHP Manual: Beschreibung der php.ini-Direktiven des Sprachkerns - open_basedir
• [8] PHP Manual: MySQL Introduction
• [9] Carsten Eilers: "...und die Datenbank gehorcht dem Angreifer", PHP User Magazin 2.2010
• [10] Carsten Eilers: "Passwortlecks ohne Ende?"
• [11] Free Rainbow Tables
• [12] Request for Comments: Adding simple password hashing API
• [13] Wikipedia: bcrypt
• [14] PHP Manual: Password Hashing
• [15] Anthony Ferrara: password_compat

Carsten Eilers