Evitar ejecuciones múltiples en cron con PHP

ByLuis

Cuando tienes una aplicación web, los procesos cron son muy útiles para automatizar tareas de todo tipo: mantenimiento, background, … El problema que nos podemos encontrar es cuando el tiempo que tarda en ejecutarse un cron supera el tiempo de espera entre ejecuciones, con lo que nos encontramos con dos cron ejecutándose en el mismo momento, pudiendo repercutir negativamente en la propia tarea del cron.

Para evitar esta situación, el script al que hago referencia nos va a venir muy bien, porque añade bloqueos al cron para evitar que dos procesos se ejecuten. Una solución sencilla es crear un fichero, y si el fichero existe, pues no ejecutar el cron. El problema que tiene esto es que si el cron termina abruptamente, el fichero seguirá existiendo por no haberse borrado y el resto de procesos cron no se ejecutarán.

El autor en este script añade la posibilidad de saber si el cron sigue ejecutándose o se terminó incorrectamente, para lo cual en el fichero de bloqueo guarda el PID del proceso cron que lo crea y comprueba si el PID sigue existiendo. Este script sólo es útil en entornos linux.

How to use locks in PHP cron jobs to avoid cron overlaps

Vía / PHPDeveloper.org

Similar Posts

Obtener el huso horario mediante la latitud y la longitud en PHP

ByLuis

Tutorial que nos muestra como obtener el huso horario según una latitud y logitud. Para obtener el dato, hace uso de el API de Google Maps y GeoNames.org. Además ofrece la parte PHP y la parte Javascript (realizada en Mootools).
Es un script interesante para aquellas aplicaciones que obtiene datos (introducidos por el usuario, por ejemplo) de diferentes partes del mundo.
Getting Time Zone from Latitude & Longitude
Vía / PHPDeveloper.org

ffmpeg-php: obten información de tus videos y sonidos mediante PHP

ByLuis

ffmpeg-php es una librería para acceder y recuperar información de ficheros de video y audio.
Con esta librería se pueden obtener frames de los ficheros de video como imágenes para luego manipularlas con las funciones GD de PHP. Muy útil para crear thumbnails de los videos que poseemos. De los ficheros audio se puede obtener la duración y el bitrate. Son varios los formatos de audio (mp3, wma, …) y de video (mov, avi, mpg, wmv, …) los que admite esta librería.
Entre las características que nos ofrece, nos encontramos con lo siguiente: orientado a objetos, obtener imágenes de los frames de un video, crear GIFs animados de los frames de un video o de imágenes GD, utiliza las características de ffmpeg para redimensionar y recortar los frames obtenidos, obtener de los ficheros mp3 la información meta de los archivos.
Para utilizar esta librería es necesario ffmpeg-0.4.9_pre1, php-4.3.0 y gd-2.0.
ffmpeg-php

Librería PHP para crear Feeds

ByLuis

PHP Universal Feed Generator es una librería que nos permite añadir feeds en varios formatos en nuestras aplicaciones.

Nos permite:

  • generar feeds en RSS 1.0, RSS 2.0 y ATOM 1.0
  • genera feeds válidados
  • admite todos los tipos de elementos de un feed
  • facilidades de uso
  • convierte automáticamente los formatos de fecha
  • genera UUID para ATOM
  • permite el uso de subtags y atributos
  • Orientado a objetos mediante PHP5

PHP Universal Feed Generator

Gracias Elías por el aviso

Extraer textos en PDF desde PHP

ByLuis

Interesante librería que nos permite extraer textos de ficheros PDF, ignora todo aquello que no esté como texto en una capa y soporta ASCIIHexDecode, ASCII85Decode, FlateDecode:

include('class.pdf2text.php');
$a = new PDF2Text();
$a->setFilename('test.pdf');
$a->decodePDF();
echo $a->output();

PDF Text Extractor

|

Evitar Cross-Site Request Forgeries en PHP

ByLuis

Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica bien).

Este ataque se produce cuando a un usuario se le conceden permisos, confiando en él, pero no teniendo en cuenta que otra gente pueda aprovecharse de ello. Supongamos que tenemos una página de compra de artículos, cuya aplicación controla perfectamente los campos de entrada y que tiene una función que realiza la operación de compra de artículos.

Tenemos el formulario HTML:

<form action="compra.php" method="POST">
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>

El primer fallo que solemos cometer es leer las variables de entrada mediante $_REQUEST:

<?php
session_start();
if (isset($_REQUEST['articulo'] &&
isset($_REQUEST['cantidad'])) {
compra($_REQUEST['articulo'],
$_REQUEST['cantidad']);
}
?>

Una forma muy utilizada para realizar un ataque y que al autor del artículo le gusta mucho, es mediante el uso de una imagen:

<img src="http://ejemplo.org/compra.php?articulo=CAFETERA&cantidad=1000" alt="ads" />

Con esto conseguimos que el usuario que visita nuestra página tambien haga una petición a la página en cuestión sin que él lo sepa, claro, que esto solo funciona si el usuario a la vez tiene una sesión abierta en la página que se está atacando.

La solución es añadir una marca formada por un número “encriptado” y un tiempo para que tenga que renovarse esta marca. La marca se debe crear y pasar en el formulario por el que se envían los datos y a parte se debe controlar su existencia, si coincide y si no ha superado el timeout.

<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>
<?php
if ($_POST['marca'] == $_SESSION['marca']) {
$diferencia_tiempo_marca = time() - $_SESSION['tiempo_marca'];
if ($diferencia_tiempo_marca <= 300) {
/* Menos de 5 minutos */
}
}
?>

Artículo original: Security Corner: Cross-Site Request Forgeries

Vía / backdraft

5 Comments

  2. Antes de nada, felicidades por el blog.

    Personalmente no recomiendo el uso de comandos desde lenguajes que tienen funciones de sistema y menos si es un ps (y ademas -e:)… estos solo son para los de sistemas! :DD
    Si solo va a funcionar en un unix se puede utilizar un kill -0, …perdón: posix_kill

    Lo q hay q leer!

  3. Cierto, yo tampoco recomiendo usar funciones de sistema, pero en algunos casos es necesario. Aunque este script sólo será necesario para casos excepcionales.

    Sobre lo de sistemas… no creo que sea exclusivo de ellos, y recomiendo a cualquiera que haga aplicaciones web a que aprenda de sistemas, porque si tienes algún problema necesitarás saber de ello.

  4. No, perdón, lo que digo en mi opinión es que es mejor utilizar las funciones de sistema antes de ejecutar comandos del sistema.
    Y estoy contigo que por supuesto que es necesario disponer de conocimientos del s.o, sobretodo si utilizas lenguajes linkados en un sistema en particular.
    Salu2

Comments are closed.