PHPBlog.it

Inspekt, la libreria firewall

Inspekt è una libreria per PHP (4 e 5) promossa dal Open Web Application Security Project (OWASP) in occasione del Spring of Code 2007 e realizzata da Ed Finkler sulla base di quello che era Zend_Filter_Input (ex componente del framework Zend). Lo stesso Ed afferma che dai dati di NIST NVD relativi al 2006 risulta che oltre il 40% di tutte le vulnerabilità riportate riguardano PHP, ma non il linguaggio in sè bensì le applicazioni sviluppate con esso e quindi il codice realizzato. E’ quindi necessario seguire nuovi paradigmi che impongano in un certo qual modo l’applicazione di tecniche di filtering e validation necessarie a garantire il corretto funzionamento delle applicazioni.

Inspekt si piazza come una specie di firewall tra l’input dell’utente e l’applicazione vera e propria. La libreria si preoccupa di prendere gli array superglobali ($_GET e $POST), esegue l’incapsulamento dei dati contenuti in un oggetto definito “cage” (letteralmente “gabbia”) e distrugge gli array superglobali. L’accesso ai dati è garantito da una vasta serie di metodi che si occupano già del filtering e da altri che permettono la validazione dei dati stessi. L’accesso ai dati originali (raw) può essere fatto solamente tramite il metodo ‘getRaw()’ che obbliga quindi lo sviluppatore ad aver ben sotto controllo la situazione e quello che sta facendo.
Dalla documentazione di Inspekt è facile capire quanto sia semplice da utilizzare e quali siano le sue potenzialità nel rendere anche più semplice e leggibile il codice piuttosto che avere tutti i controlli e la validazione direttamente nell’action dei form. Consiglio di dare un’occhiata agli esempi contenuti nell’archivio che scaricate assieme alla libreria, permettono di vedere in azione Inspekt e di lavorare direttamente su codice già pronto per eseguire i propri test e fugare i propri dubbi.