Hace un tiempo, Facebook lanzó XHProf una librería que permite realizar debug de las aplicaciones, ahora sale una GUI que permite mostrar los datos obtenidos de XHProf.
Algo común en muchas de las páginas que visitamos, por ejemplo en foros, es la necesidad de registrarnos para poder acceder a los contenidos. El tutorial que ponemos a continuación explica muy bien como hacerlo paso a paso:
Creating a Membership System with PHP and MySQL
VÃa / dzone
Librería para trabajar con Akismet en cualquier lugar usando PHP. Su uso es muy sencillo y nos permite identificar comentarios como spam.
Tiene 3 funciones básicas en modo estático:
// Comprueba si un comentario es spam
aksimet_check( $vars )
// Re-clasifica un comentario como spam
aksimet_spam( $vars )
// Re-clasifica un comentario como NO spam
aksimet_ham( $vars )Dentro de la variable $vars se puede indicar: IP del usuario, User Agent, contenido del comentario, referrer, permaling, tipo de comentario, autor del comentario, email del autor del comentario y url del autor del comentario.
Quizás se pudiera usar para saber si una IP es spam o no en cualquier otro tipo de aplicaciones que no estén dirigidas a blogs.
Vía / AskApache
Webgrind es una aplicación web que nos permite visualizar los datos que nos ofrece Xdebug.
Es de fácil instalación, compatible con todas las plataformas y permite comprobar el tiempo gastado en las funciones según su coste. Además podemos conocer dónde es llamada cada función y qué función la llama.
Webgrind
Vía / PHPDeveloper.org
Pixy es una aplicación Java que rastreará nuestro código PHP en busca de vulnerabilidades XSS y SQL Injection.
Encuentrq vulnerabilidades que normalmente se encuentran en auditorÃas manuales, salvo que estas pueden pasar por encima algunas. Pixy tan solo es válido para código PHP4, aún no es compatible con PHP5. Realiza informes sobre los puntos vulnerables del código, para lo cual toma el programa PHP como entrada y acto seguido lo analiza.
Pixy
VÃa / VT’s Tech Blog
Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica bien).
Este ataque se produce cuando a un usuario se le conceden permisos, confiando en él, pero no teniendo en cuenta que otra gente pueda aprovecharse de ello. Supongamos que tenemos una página de compra de artÃculos, cuya aplicación controla perfectamente los campos de entrada y que tiene una función que realiza la operación de compra de artÃculos.
Tenemos el formulario HTML:
<form action="compra.php" method="POST">
ArtÃculo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>El primer fallo que solemos cometer es leer las variables de entrada mediante $_REQUEST:
<?php
session_start();
if (isset($_REQUEST['articulo'] &&
isset($_REQUEST['cantidad'])) {
compra($_REQUEST['articulo'],
$_REQUEST['cantidad']);
}
?>Una forma muy utilizada para realizar un ataque y que al autor del artÃculo le gusta mucho, es mediante el uso de una imagen:
<img src="http://ejemplo.org/compra.php?articulo=CAFETERA&cantidad=1000" alt="ads" />Con esto conseguimos que el usuario que visita nuestra página tambien haga una petición a la página en cuestión sin que él lo sepa, claro, que esto solo funciona si el usuario a la vez tiene una sesión abierta en la página que se está atacando.
La solución es añadir una marca formada por un número “encriptado” y un tiempo para que tenga que renovarse esta marca. La marca se debe crear y pasar en el formulario por el que se envÃan los datos y a parte se debe controlar su existencia, si coincide y si no ha superado el timeout.
<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
ArtÃculo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form><?php
if ($_POST['marca'] == $_SESSION['marca']) {
$diferencia_tiempo_marca = time() - $_SESSION['tiempo_marca'];
if ($diferencia_tiempo_marca <= 300) {
/* Menos de 5 minutos */
}
}
?>ArtÃculo original: Security Corner: Cross-Site Request Forgeries
VÃa / backdraft
Muy buen tutorial que nos explica como combinar PHP y Flex usando el Zend Framework para crear aplicaciones más completas.
En el ejemplo usarán PHP (mediante el Zend Framework) para llevar la lógica de la aplicación, mientras que Flex se usará para la presentación. Se trata de leer los feeds de DevZone y añadir imágenes de Flickr para cada entrada. Lo primero será pasar el contenido de cada entrada por el Content Analyzer de Yahoo, el cual nos devolverá las palabras clave. Con estas etiquetas accederemos a Flickr y mostraremos la imágen.
Aunque en este caso se usa el Zend Framework, está claro que se puede hacer con otro framework o directamente desarrollando nosotros todo el código.
En Zend Developer Zone cada dÃa nos sorprenden con algo nuevo.
Flex and PHP: Party in the Front, Business in the Back