PHPBlog.it » filtering http://phpblog.it Solo un altro blog targato WordPress Mon, 21 May 2012 21:45:53 +0000 en hourly 1 http://wordpress.org/?v=3.3.2 40 indizi per definirti uno scarso programmatore PHP http://phpblog.it/2008/02/14/40-indizi-per-definirti-uno-scarso-programmatore-php/?utm_source=rss&utm_medium=rss&utm_campaign=40-indizi-per-definirti-uno-scarso-programmatore-php http://phpblog.it/2008/02/14/40-indizi-per-definirti-uno-scarso-programmatore-php/#comments Thu, 14 Feb 2008 06:00:58 +0000 Daniel http://php5blog.it/2008/02/14/40-indizi-per-definirti-uno-scarso-programmatore-php/ ]]> Help coder

Leggo un’interessante lista di indizi dal blog di Reinhold Weber che secondo lui bastano a definire davvero scarso (schifoso sarebbe la traduzione esatta) un programmatore PHP. Si tratta di 40 “regole” di buona programmazione e progettazione che ci invitano a riflettere sul proprio modo di agire e sperano di scatenare qualche buon proposito per migliorarsi.

Su alcuni concordo più che su altri:

  • non commenti il codice con qualcosa tipo phpDoc, io aggiungo non commenti il codice e basta
  • non esegui l’escaping e la validazione di input e delle query sql (di cui abbiamo parlato)
  • non pianifichi, progetti la tua applicazione in modo dettagliato prima di cominciare a scrivere codice
  • non tieni separati i diversi layer utilizzando qualcosa basato su MVC (model-view-control)
  • non ha mai sentito parlare di sql injection or cross-site scripting (Xss)
  • non usi un abstraction layer per interagire con i database

E voi cosa ne pensate? Lasciate pure la vostra opinione nei commenti qui sotto.

]]> http://phpblog.it/2008/02/14/40-indizi-per-definirti-uno-scarso-programmatore-php/feed/ 6 Inspekt, la libreria firewall http://phpblog.it/2008/02/07/inspekt-libreria-di-filtering-e-validazione-per-php/?utm_source=rss&utm_medium=rss&utm_campaign=inspekt-libreria-di-filtering-e-validazione-per-php http://phpblog.it/2008/02/07/inspekt-libreria-di-filtering-e-validazione-per-php/#comments Thu, 07 Feb 2008 06:00:49 +0000 Daniel http://php5blog.it/2008/02/07/inspekt-libreria-di-filtering-e-validazione-per-php/ ]]> InspektInspekt è una libreria per PHP (4 e 5) promossa dal Open Web Application Security Project (OWASP) in occasione del Spring of Code 2007 e realizzata da Ed Finkler sulla base di quello che era Zend_Filter_Input (ex componente del framework Zend). Lo stesso Ed afferma che dai dati di NIST NVD relativi al 2006 risulta che oltre il 40% di tutte le vulnerabilità riportate riguardano PHP, ma non il linguaggio in sè bensì le applicazioni sviluppate con esso e quindi il codice realizzato. E’ quindi necessario seguire nuovi paradigmi che impongano in un certo qual modo l’applicazione di tecniche di filtering e validation necessarie a garantire il corretto funzionamento delle applicazioni.

Inspekt si piazza come una specie di firewall tra l’input dell’utente e l’applicazione vera e propria. La libreria si preoccupa di prendere gli array superglobali ($_GET e $POST), esegue l’incapsulamento dei dati contenuti in un oggetto definito “cage” (letteralmente “gabbia”) e distrugge gli array superglobali. L’accesso ai dati è garantito da una vasta serie di metodi che si occupano già del filtering e da altri che permettono la validazione dei dati stessi. L’accesso ai dati originali (raw) può essere fatto solamente tramite il metodo ‘getRaw()’ che obbliga quindi lo sviluppatore ad aver ben sotto controllo la situazione e quello che sta facendo.
Dalla documentazione di Inspekt è facile capire quanto sia semplice da utilizzare e quali siano le sue potenzialità nel rendere anche più semplice e leggibile il codice piuttosto che avere tutti i controlli e la validazione direttamente nell’action dei form. Consiglio di dare un’occhiata agli esempi contenuti nell’archivio che scaricate assieme alla libreria, permettono di vedere in azione Inspekt e di lavorare direttamente su codice già pronto per eseguire i propri test e fugare i propri dubbi.

]]> http://phpblog.it/2008/02/07/inspekt-libreria-di-filtering-e-validazione-per-php/feed/ 1