Per questo motivo in un progetto che sto affrontando in questo periodo ho deciso che l’utente non potrà agire direttamente sulla password ma sarà sempre il sistema ad occuparsene. Al momento della registrazione verrà creata una password comunicata all’utente via mail (caratteri alfanumerici); in caso di smarrimento l’utente potrà richiedere una nuova password con relativo reset della precedente dovuto al fatto che la password non verrà memorizzata in chiaro sul database.

L’approccio non è certo rivoluzionario, tuttavia in molte applicazioni la gestione password è diversa e lascia più libertà all’utente andando a dare spazio quindi ai problemi visti in precedenza.

Source Guardian

Source Guardian (250$, windows, linux, mac), tramite un’interfaccia che lascia un po’ a desiderare vi permette di criptare il vostro codice. Il primo approcio con la versione Demo è stato ottimo, l’interfaccia scarna del programma è compensata da una semplicità di utilizzo veramente alta. Con pochi clicks guidati potremo visualizzare il nostro sorgente criptato.

I nodi giungono però al pettine dopo poco tempo: al momento dell’esecuzione dello script comparirà la richiesta di installazione di Source Guardian loader, dopo una ricerca un po’ macchinosa sono giunto ad una pagina (nei files di installazione di source guardian) che spiega come effettuarne l’installazione:

Prima

[source:php]
<?php
function isOnline($address=”localhost”, $port=”80″, $timeout=”1″)
{
@$fp=fsockopen($address,$port,$err_no,$errstr,$timeout);
if($fp)
{
return 1;
fclose($fp);
}
else
{
echo “Errore numero $err_no: $errstr\n”;
return 0;
}
}
?>[/source]

Dopo

[source:php]<?php @SourceGuardian; 1051555483; 2602881255; //v7.0 evaluation
if(!function_exists(‘sg_load’)){$__v=phpversion();$__u=strtolower(substr(php_uname(),0,3));$__f=$__f0=’ixed.’.substr($__v,0,strpos($__v,’.',3)).’ev.’.$__u;$__ff=$__ff0=’ixed.’.$__v.’ev.’.$__u;$__ed=ini_get(‘extension_dir’);if(!$__e=realpath($__ed)) die(‘extension_dir does not exists ‘.$__ed);if(file_exists($__e.’/’.$__ff)) dl($__ff);else if(file_exists($__e.’/’.$__f)) dl($__f);else {$__d=getcwd();if(@$__d[1]==’:'){$__d=str_replace(‘\\’,'/’,substr($__d,2));$__e=str_replace(‘\\’,'/’,substr($__e,2));}$__e.=($__h=str_repeat(‘/..’,substr_count($__e,’/')));$__f=’/ixed/’.$__f;$__ff=’/ixed/’.$__ff;while(!file_exists($__e.$__d.$__ff) && !file_exists($__e.$__d.$__f) && strlen($__d)>1){$__d=dirname($__d);}if (file_exists($__e.$__d.$__ff)) dl($__h.$__d.$__ff);else if (file_exists($__e.$__d.$__f)) dl($__h.$__d.$__f);}if(!function_exists(‘sg_load’)){die(‘PHP script <B>’.__FILE__.’</B> is protected by <A href=”http://www.sourceguardian.com/”>SourceGuardian</A> and requires the SourceGuardian loader <B>’.$__f0.’</B>. The SourceGuardian loader has not been installed, or is not installed correctly. Please find the required loader in the ixed subdirectory within your SourceGuardian installation directory.’);exit();}}return sg_load(‘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′);
?>[/source]

Conclusioni: Source Guardian è un po’ difficile da installare, ha un’interfaccia che di certo non è delle migliori ma pare che decifrare il codice sia più complicato. E’ anche vero che costa molto meno di Zend Guard.

Il fatto di eseguire i corretti controlli sulle variabili può spesso essere visto come una perdita di tempo, questo metodo di procedere lascia nella maggior parte dei casi falle aperte nelle applicazioni che perdono dunque affidabilità in termini di sicurezza.

Tuttavia eseguire un semplice quanto importante controllo su una variabile $_GET, $_POST, $_SESSION è questione di una linea di codice:

CONDIZIONE ? VALORE SE TRUE : VALORE SE FALSE

Un semplice esempio può essere il seguente:

$id = isset($_GET['id']) ? $_GET['id'] : false;

In una singola riga si fanno diverse operazioni: innanzitutto con isset() si verifica l’esistenza della variabile, se il valore ottenuto è true si assegna il valore a $id, in caso contrario il valore assegnato sarà false. Chiaramente sarà utile verificare successivamente il tipo del dato che ci aspettiamo prima di utilizzarlo.

Questo non significa certo che PHP non rispetti il concetto di tipo, ogni valore che possiamo assegnare ad una variabile ha un tipo che possiamo verificare attraverso delle utili funzioni per la gestione delle variabili. Avremo quindi la possibilità di utilizzare is_bool(), is_integer(), is_string()…per verificare il tipo di una variabile passata come parametro, in caso positivo il valore di ritorno sarà true.

Effettuare il controllo del tipo di una varibile torna particolarmente importante quando si ha a che fare con gli argomenti di metodi e funzioni, casi in cui bisogna prestare particolare attenzione al codice che si scrive. Vediamo un esempio. Immaginiamo di estrarre delle informazioni di configurazione da un file XML, l’elemento <resolvedomains> specifica all’applicazione se provare o meno ad eseguire il reverse DNS di un IP.

<settings>
<resolvedomains>false</resolvedomains>
<settings>


La stringa “false” viene letta dall’appliccazione e passata ad un metodo chiamato outputAddress() che si occupa di visualizzare i dati di un determinato IP.

[php]
function outputAddresses($resolve) {
foreach($this->addresses as $address) {
print $address;
if ($resolve) {
print “(“. gethostbyaddr($address) .”)”;
}
print “\n”;
}
}
[/php]

Il metodo outputAddresses() non fa altro che iterare su un array di indirizzi IP mostrandoli uno ad uno, nel caso in cui $resolve sia true il metodo restituisce anche il dominio assieme all’IP. Vediamo una porzione di codice che potrebbe essere chiamata da questo metodo:

$settings = simplexml_load_file("settings.xml");
$manager = new AddressManager();
$manager->outputAddresses($settings->resolvedomains);

Questo codice non si comporta come ci si aspetterebbe: passando la stringa “false” al metodo outputAddress() trascuriamo l’assunzione implicita che il metodo fa riguardo all’argomento passato. Infatti il metodo si aspetta un valore di tipo booleano (true o false) ma la stringa “false” corrisponde al valore true in un test. Questo è dato dal fatto che PHP esegue un cast di una stringa non vuota al valore booleano true in un test if. Di conseguenza:

if ("false") {
//..
}


è equivalente a

if (true) {
//..
}

Esistono diverse strade per risolvere questo problema, quella più metodica e sicura richiede di modificare il metodo outputAddress() per fare in modo che sia pronto ad aspettarsi il corretto tipo di dato riferito all’argomento $resolv.

[php]
function outputAddresses($resolve) {
if (!is_bool($resolve)) {
die(“outputAddress() richiede un argomento di tipo booleano\n”);
}
}
[/php]

Un approccio di questo tipo obbliga chi utilizza il metodo a fornire l’argomento $resolv nel tipo di dato corretto evitando problemi di ogni sorta. Detto questo sta al programmatore considerare il potenziale impatto che l’utilizzo di tipi inaspettati potrebbe avere sulla propria applicazione. Non pensate di lasciare nulla al caso, chi userà le vostre classi non può leggere quello che avete in mente quando le realizzate quindi è consigliabile pensare sempre come i metodi che scrivete possano reagire alla “spazzatura” che potrebbero ricevere in input.

Come già detto la fruizione di questi feed RSS è davvero semplice utilizzando delle applicazioni o dei servizi che svolgono il compito di aggregare le informazioni provenienti da più fonti, ma come fare ad utilizzare i dati contenuti nell’xml per proporli per esempio su una pagina web? Vediamo come fare con PHP e SimpleXML.

Innanzitutto bisogna avere un link ad un feed RSS, prendiamo per esempio quello di questo blog e lo assegnamo ad una variabile:

$request = 'http://feeds.feedburner.com/php5blogit/';

a questo punto non resta che recuperare i dati contenuti nel feed. Le strade percorribili sarebbero 2: utilizzare la funzione file_get_contents oppure sfruttare le funzioni curl. Il risultato finale utilizzando l’una o l’altra strada sarebbe lo stesso, il problema della scelta dipende principalmente dalle impostazioni dell’hosting su cui lavoriamo: capita spesso di trovare servizi che per sicurezza non abilitino i wrapper URL per fopen, in modo da potere accedere ad oggetti URL come file. In questo caso vediamo l’esempio con le funzioni curl:

$ch = curl_init();
$timeout = 5;
curl_setopt ($ch, CURLOPT_URL, $request);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$response = curl_exec($ch);
curl_close($ch);


A questo punto entra in scena l’xml. Infatti per poter accedere ai dati ricavati dal feed dobbiamo convertire l’xml stesso in un oggetto su cui usare iteratori e proprietà degli array. Come? Le funzioni SimpleXML sono la risposta. Queste funzioni, che sono state introdotte con PHP5, permettono di trattare l’xml con un insieme di metodi studiati per accedere ai dati e per modificarne eventualmente i contenuti aggiungendone di altri.

$xml = new SimpleXMLElement($response);

Non resta che presentare ai lettori i contenuti del feed ricavati nei passaggi precedenti. L’accesso ai dati grazie al SimpleXML è un gioco da ragazzi: iterando sugli item contenuti in ogni channel facciamo l’echo del link e del titolo dell’articolo in questione…

foreach ($xml->channel->item as $item) {
echo "<a href='" . $item->guid . "' style='color:#000;'>" . $item->title . "</a><br />";
}


La presentazione del link è basilare, appositamente non sottoposta a stili particolari perchè non è questo l’obiettivo dell’articolo. Con poche specifiche allo style utilizzando i css si possono creare box adattabili ad ogni sito o blog integrandoli in modo perfetto al layout esistente.

Potete scaricare il codice completo dell’esempio da qui.

CREDITS
Le foto utilizzate nell’articolo sono state distribuite con licenza Creative Commons e prelevate da Flickr. Sono reperibili nel formato originale ai seguenti indirizzi:

• http://www.flickr.com/photos/68242677@N00/1332714549/