Thiemos Archiv

Zuerst wird beleuchtet, warum Communitys keine Selbstläufer sind, in welchem Umfeld sie funktionieren können und wie sich typische Community-Webseiten präsentieren. Am Beispiel eines Online-Spieles wird gezeigt, dass durch "Highscore-Listen" Anreize geschaffen werden können. Die ebenfalls sehr spannende Möglichkeit, Aktivitäten zu messen, wird nicht erwähnt. Statt dessen ist in einem Absatz von "Statistiken" die Rede. Mit nichts könne der "Portal-Master" seinen Mitgliedern soviel Freude bereiten wie mit "Balkendiagrammen".

In einem weiteren Abschnitt, an dem es nichts zu kritisieren gibt, wird der Einsatz von WYSIWYG-Editoren gegenüber der direkten Eingabe von HTML- oder Wiki-Syntax betrachtet. Der Autor empfiehlt, mehrere Möglichkeiten anzubieten, so dass jeder Benutzer diejenige wählen kann, mit der er am besten zurecht kommt. Nach dieser guten und wichtigen Empfehlung gleitet der Artikel jedoch ab: In den folgenden Absätzen werden SQL-Injections erklärt und gefährliche oder sogar falsche Methoden zur Absicherung aufgezeigt. Dass $_POST-Variablen aufgrund der Magic-Quotes im Allgemeinen bereits ein addslashes() hinter sich haben, wird ebensowenig erwähnt wie die Funktion mysql_real_escape_string(), der einzig korrekten Methode zum Maskieren von Sonderzeichen in SQL-Anweisungen (das steht erst im nächsten Artikel "Login – aber sicher!"). Statt dessen entfernt der Autor des Artikels schlichtweg alle einfachen Anführungszeichen und zerstört damit getätigte Nutzereingaben. Was das noch mit Communitys zu tun hat, bleibt im Dunkeln.

Dass außerdem der Einsatz von strip_tags() empfohlen wird, einer der am häufigsten missbräuchlich eingesetzten PHP-Funktionen überhaupt, verwundert dann kaum noch. Zur Erklärung: strip_tags() zerstört mutwillig Benutzereingaben, ohne Rücksicht darauf, was damit erreicht werden sollte. Infolge dessen wird die Eingabe von spitzen Klammern praktisch unmöglich. Mit htmlspecialchars() in Kombination mit einigen regulären Ausdrücken oder einem Werkzeug wie HTML_BBCodeParser – das der Artikel ebenfalls nicht erwähnt – lässt sich das selbe Ziel erreichen.

Alles in allem hat das Heft (eines der wenigen, die ich mir je genau angesehen habe) einen durchwachsenen Eindruck bei mir hinterlassen. Zwar finden auch fortgeschrittene Entwickler Neues (Socketverbindungen zu Mozilla, Datenbankreplikation). Viele Artikel zielt jedoch auf ein Publikum, das erst beginnt, sich mit der Programmierung von Webapplikationen zu beschäftigen. Das ist kein Fehler, schließlich handelt es sich um ein Magazin, das am Kiosk vertrieben wird und ein breites Publikum ansprechen muss. Dass vieles dabei gar nicht PHP-spezifisch ist (teilweise könnten ganze Artikel ebensogut in einem Java- oder Perl-Magazin erscheinen), ist ebenfalls kein Fehler, sondern – sagen wir systembedingt.