Script PHP que nos facilita la tarea de luchar contra el SPAM. Se trata de un script sencillo de instalar y que podemos añadir a otras aplicaciones ya existentes. Entre las características que ofrece nos encontramos con:
Algo que me desespera es tener que editar varios posts seguidos en WP (sobre todo antes del lanzamiento) y tener que ir del post actual, a la lista de post y elegir el siguiente post que necesito editar. Por ello he hecho este pequeño script que incluido en el functions.php incluye dos enlaces en la cabecera que apuntan a la edición del post anterior y al siguiente:
function add_navigation_edit_posts() {
if(preg_match('#wp-admin/post\.php#', $_SERVER["SCRIPT_NAME"]) && isset($_GET['post']) && isset($_GET['action']) && $_GET['action'] == 'edit') {
global $post;
if(!empty($post) && $post->post_type == 'post') {
foreach(array(true, false) as $prev) {
$p = get_adjacent_post(false, '', $prev);
if (!empty($p)) {
echo '<script type="text/javascript">';
echo 'jQuery(document).ready(function() {jQuery(".wrap h2").append(\''.($prev?'« ':'').$p->post_title.(!$prev?' »':'').'\');});';
echo '</script>';
}
}
}
}
}
add_action('admin_head', 'add_navigation_edit_posts');Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica bien).
Este ataque se produce cuando a un usuario se le conceden permisos, confiando en él, pero no teniendo en cuenta que otra gente pueda aprovecharse de ello. Supongamos que tenemos una página de compra de artÃculos, cuya aplicación controla perfectamente los campos de entrada y que tiene una función que realiza la operación de compra de artÃculos.
Tenemos el formulario HTML:
<form action="compra.php" method="POST">
ArtÃculo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>El primer fallo que solemos cometer es leer las variables de entrada mediante $_REQUEST:
<?php
session_start();
if (isset($_REQUEST['articulo'] &&
isset($_REQUEST['cantidad'])) {
compra($_REQUEST['articulo'],
$_REQUEST['cantidad']);
}
?>Una forma muy utilizada para realizar un ataque y que al autor del artÃculo le gusta mucho, es mediante el uso de una imagen:
<img src="http://ejemplo.org/compra.php?articulo=CAFETERA&cantidad=1000" alt="ads" />Con esto conseguimos que el usuario que visita nuestra página tambien haga una petición a la página en cuestión sin que él lo sepa, claro, que esto solo funciona si el usuario a la vez tiene una sesión abierta en la página que se está atacando.
La solución es añadir una marca formada por un número “encriptado” y un tiempo para que tenga que renovarse esta marca. La marca se debe crear y pasar en el formulario por el que se envÃan los datos y a parte se debe controlar su existencia, si coincide y si no ha superado el timeout.
<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
ArtÃculo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form><?php
if ($_POST['marca'] == $_SESSION['marca']) {
$diferencia_tiempo_marca = time() - $_SESSION['tiempo_marca'];
if ($diferencia_tiempo_marca <= 300) {
/* Menos de 5 minutos */
}
}
?>ArtÃculo original: Security Corner: Cross-Site Request Forgeries
VÃa / backdraft
SAJA es una librerÃa para usar Ajax en PHP de forma segura, sin necesidad de crear ningún Javascript y dando soporte a PHP4 y PHP5.
Está diseñado para crear de forma rápida aplicaciones Ajax secillas, seguras y fáciles de mantener.
Se trata de crear funciones PHP que se encarguen de todo, no es necesario registrar callbacks, ni de importar otras funciones. Tan solo se escribe una función y se llama.
La seguridad que nos ofrece es debido a que las peticiones SAJA sólo son válidas si el usuario está actualmente en la página desde donde proviene la petición. A parte, para darle mayor seguridad, se puede encriptar los datos de entrada del usuario antes de que se envÃen al servidor.
Tan solo ocupa 14K y 3.8K para el usuario final. No utiliza XML debido a que pesa demasiado y a que parsearlo requiere más proceso que con datos normales. No es necesario escribir código Javascript a no ser que quieras hacer algo fuera de lo común.
SAJA
VÃa / Ajaxian
Desde Devshed nos ofrecen un completo tutorial para realizar una aplicación que convierte una dirección IP en su correspondiente país. Para ello, lo más importante es la base de datos de direcciones IP: http://software77.net/cgi-bin/ip-country/geo-ip.pl, sin la cual no se podría hacer la aplicación.
Después nos indica cómo pasar la BD de las IPs a una tabla de MySQL mediante un script, y ya con esta tabla podremos trabajar con la relación IP-país.
Building an IP-to-Country Mapping Application with PHP
El spam se ha convertido en uno de los mayores problemas con los que nos podemos enfrentar a la hora de desarrollar una aplicación web. Si estás en el proceso de creación de una aplicación, te va a venir bastante bien la lectura de los artÃculos que os pasamos a continuación y de los que hacemos un pequeño resumen.
Las técnicas para luchar contra el spam se pueden dividir en dos:
Si permites que los usuarios puedan participar en tu web, también deberás tener en cuenta que si su dirección de correo electrónico se hace pública puede ser usada para el envio masivo de spam. Al igual, si pones una dirección de email para que contacten contigo, también puedes ser vÃctima de todos estos mensajes.
Para evitar que los spammers usen tu e-mail, podemos usar varias técnicas:
<a href="mailto:%61%6e%74%69%73%70%61%6d%40%65%78%61%6d%70%6c%65%2e%63%6f%6d"> antispam <!-- antispam --> @ <!-- @ --> example <!-- example --> . <!-- . --> com <!-- com --> </a>
Lo siguiente a tener en cuenta es evitar que nuestra web sufra spam, para ello disponemos de tres técnicas:
Anti-spam techniques in PHP, Part 1
Anti-spam techniques in PHP, Part 2
VÃa / Good PHP Tutorials
P4A (PHP For Applications) es un framework PHP que contiene librerías, módulos y widgets para realizar aplicaciones de forma rápida y sencilla. Serás posible de desarrollar aplicaciones web usando las herramientas que ofrece, haciendo que el usuario tenga la sensación de estar en una típica aplicación de escritorio.
Es compatible con PHP 4.3+, Apache 1.3+, Linux o Windows. Es orientado a objetos, lógica MVC, admite múltiples conexiones a la BD, reconocimiento automático de tipos, muchos widgets, editor WYSIWYG, Ajax y mucho más
Anuncian la versión 3 para dentro de poco, aunque no parece que vaya a tener muchas novedades.
P4A
Comments are closed.
me parece una muy buena alternativa lo probare en mi sitio
Hola Helio, ya me contarás que resultados te da.
Saludos
Pues lo miré por encima en busca de ideas para el fw que estoy desarrollando y me impacto en que uno de los referers bloqueados fuera iespana :p
Vaya, parece poco fiable 🙁