Hallo,

ich finde den Artikel symptomatisch für eine gewisse PHP-Programmierung. Es wird suggeriert, dass ich mit ein paar Scripten, in die ich Low-Level-Code hineinschreibe, etwas gewinnen könnte. Gerade Themen wie Nutzerverwaltung und Zugangsschutz kann man sich nicht mal eben erarbeiten.

In ein paar Tagen kann ich vorhandene sichere Bibliotheken einbinden. In ein paar Wochen könnte ich mir die nötigen Grundlagen aneignen, vielleicht innerhalb eines Monats einen vernünftigen Mechanismus zusammen bekommen. Unter der Annahme, dass ich bereits ein erfahrener Programmierer bin, also mir nicht erst PHP-Programmiergrundlagen aneignen muss. Die meisten Leute lernen beides gleichzeitig, Programmiergrundlagen und Entwicklung von PHP-Webanwendungen.

Technisch gesehen macht der Artikel alles falsch, was man falsch machen kann. Damit meine ich nicht nur die eklatanten Fehler wie SQL-Injections, XSS und ungesalzene, beschnittene Passwörter. Das Grundproblem ist, dass alles schnell vermantscht wird: HTML-Code mit eingebettetem <?php ?> mit eingebettetem SQL ($mysqli->query("INSERT $quatsch");) und eingebettetem HTML (echo "<p>$quatsch</p>.";) Erst dabei entstehen Probleme wie SQL-Injections und XSS.

PHP ermöglicht es auf diese Weise schnelle Resultate zu erzielen. Aber PHP versucht seit 10 Jahren, dieser Falle zu entkommen. Eigentlich wurde das schon geschafft: Es gibt gute Bibliotheken und Frameworks, die es einem zumindest erschweren, sich selbst in den Fuß zu schießen. Man muss sich nur eingestehen, dass man diese Komplexität nicht in einem kurzen Artikel vermitteln kann, sondern höchstens in einem dicken Buch. Das ist natürlich schade, aber letztlich hilft es auch Einsteigern mehr als ein Artikel, der schlechte Praktiken vermittelt.

Grüße,
Mathias