Librería PHP para evitar SQL injection y XSS

ByLuis

Algo que debemos tener muy en cuenta cuando realizamos nuestra aplicación web es limpiar la entrada de datos de contenido malicioso, ya sea para SQL injection o cross-site scripting (XSS). Los frameworks suelen tener su propia librería que se encarga de ello, pero para aquellos que no usen framework o hagan una aplicación muy sencilla, esta librería les vendrá muy bien.

// Output an unsafe string, presumably user input
$xss = '';
echo 'If your entered your name as ' . $xss . ', we\'d be in trouble.
' . "\n";
 
// Sanitize that string, and output it safely
$htmlContentContext = sgSanitizer::sanitizeForHTMLContent($xss);
echo "But if we sanitize your name, " . $htmlContentContext . ", then all is well.
\n";

Genius Open Source Libraries

Vía / PHPDeveloper.org

Similar Posts

Snippets Block en WordPress.org

Snippets Block en WordPress.org

ByLuis

El otro día comentaba que estaba haciendo un plugin para WordPress que permitiera añadir snippets como bloques en Gutenber.

Por fin el otro día aprobaron el plugin en el directorio de WordPress.org, así que ya sabéis, si os viene bien, podéis instalarlo en vuestras webs.

Por cierto, echad un ojo al script que venía incluído dentro del boilerplate que usé. Está genial para poder subir al SVN de WordPress.org los cambios realizados en GitHub. Etiqueta versiones, sube a WP.org, …

Snippets Blocks en WordPress.org

Convertir IP en su país con PHP

ByLuis

Desde Devshed nos ofrecen un completo tutorial para realizar una aplicación que convierte una dirección IP en su correspondiente país. Para ello, lo más importante es la base de datos de direcciones IP: http://software77.net/cgi-bin/ip-country/geo-ip.pl, sin la cual no se podría hacer la aplicación.
Después nos indica cómo pasar la BD de las IPs a una tabla de MySQL mediante un script, y ya con esta tabla podremos trabajar con la relación IP-país.
Building an IP-to-Country Mapping Application with PHP

|

Oracle y PHP

ByLuis

La gente de Oracle han reescrito un libro que nos explica todo lo necesario para desarrollar aplicaciones en PHP que accedan a Oracle, está en formato PDF y la versión del documento es la 1.4. Este libro no es una guía completa de PHP y Oracle, ya que se supone que se tienen conocimientos básicos de PHP y SQL.

El libro está formado por 17 capítulos:

  • Introducción: introducciones sobre Oracle y PHP.
  • Extensiones PHP para Oracle: extensiones Oracle, OCI8 y PDO.
  • Instalación de Oracle Database 10g Express Edition: aunque el manual se centra en esta versión, también es válida para cualquier versión de Oracle actual.
  • Uso de Oracle Database 10g: trabajar con SQLs, PLs, crear usuarios, monitorear las sesiones, crear conexiones a la BD, crear informes y mucho más.
  • Instalar Apache: tanto en Linux como en Windows.
  • Instalar PHP: OCI en PHP4 y PHP5 tanto para Linux como para Windows y PDO en Linux y Windows.
  • Instalar Zend Core para Oracle: instalación y administración de Zend Core para Oracle.
  • Conectar a Oracle mediante OCI8: tipos de conexión, variables de entorno de Oracle, cerrar conexiones Oracle (algo que se suele olvidar hacer la gente).
  • Ejecutar SQL mediante OCI8: inserciones, modificaciones, transacciones, errores OCI8, tunning de aplicaciones.
  • Usar PL/SQL en OCI8: crear procedimientos, errores, cursores.
  • Objetos grandes: LOBs y BFILEs.
  • Uso de XML en Oracle y PHP: uso de la extensión SimpleXML y acceso a datos de Oracle mediante HTTP.
  • Globalización: manipulación de Strings, Locale, codificación de caracteres de los HTML, formato de fechas y números.
  • Debug.
  • Testing: ejecutar tests OCI8, fallo en los tests, creación de tests.
  • Nombre de funciones OCI8 en PHP.
  • Extesión de Oracle obsoleta: comparación entre la extensión Oracle y OCI8.

The Underground PHP and Oracle Manual

Vía / Christopher Jones on OPAL

10 cosas que probablemente no sepas de PHP

ByLuis

Cuando aprendemos un lenguaje (en este caso PHP) de forma autodidacta o parcialmente (un curso en la empresa), hay veces que usamos lo que conocemos porque con eso nos basta, pero no profundizamos más y nos encontramos con que hay cosas que desconocemos y que nos serían de utilidad. Por eso, el artículo que paso a traducir, nos puede ser de gran ayuda.

  • Usa ip2long() y long2ip() para guardar/recuperar las direcciones IP en la base de datos en vez de un string. Un string de 15 posiciones ocupa más espacio, cuanto menos llenemos la BD mejor que mejor.
  • Valida parcialmente la dirección de email con la función checkdnsrr(). Esta función comprueba que el dominio se corresponde a una dirección IP, así evitamos que se hayan enviado direcciones de correo con servidores erróneos. En el caso de que la validación de la existencia del email sea necesario.
  • Si usas PHP5 utiliza las funciones para acceso a MySQL mysqli_* en lugar de mysql_*, ya que están optimizadas.
  • Aprende lo que te ofrece el operador ternario (?:), te facilitará mucho el desarrollo y la comprensión del código una vez creado.
  • No reinventes la rueda, antes de meterte a hacer lo que ya está hecho, mira si existe en las librerías PEAR.
  • Usa highlight_file() cuando quieras formatear un texto como código PHP.
  • Deshabilita los logs de errores con error_reporting(0), a parte de ganar en rendimiento, evitas mostrar querys o paths de scripts. Yo personalmente recomendaría que te crearas un buen gestor de errores.
  • Usa gzcompress() y gzuncompress() para comprimir strings grandes para que no ocupen demasiado tamaño en la BD, por ejemplo en un campo BLOB.
  • Usa parámetros por referencia (&$param) para poder conseguir que la función te devuelva más valores a parte de que devuelve return.
  • Intenta comprender completamente las “magic quotes” para evitar que te ataquen mediante SQL Injection.

10 things you (probably) didn’t know about PHP.

Vía / dzone

Librería PHP para Google Analytics

ByLuis

Librería PHP que nos permite obtener los datos de Google Analytics tipo Visitas y Páginas Vistas de forma muy sencilla y cómoda:

//session_start for caching, if desired
session_start();
//get the class
require 'ga/analytics.class.php';
//sign in and grab profile
$analytics = new analytics('david@davidwalsh.name', 'myP@ssw0rd');
$analytics->setProfileByName('davidwalsh.name');
//set the date range for which I want stats for (could also be $analytics->setDateRange('YYYY-MM-DD', 'YYYY-MM-DD'))
$analytics->setMonth(date('n'), date('Y'));
//get array of visitors by day
print_r($analytics->getVisitors());
//get array of pageviews by day
print_r($analytics->getPageviews());

Google Analytics PHP API class

Vía / David Walsh Blog

Comparativa entre Symfony y Zend

ByLuis

Tanto Symfony como Zend frameworks son frameworks PHP5 con gran éxito entre los desarrolladores. Como siempre pasa sobre gustos no hay nada escrito, pero para aquel que quiera elegir entre uno, esta comparativa puede venirle muy bien.

  • Comienzo: Symfony tiene mucha documentación y gente por detrás desarrollando y ayudando, algo de lo que anda un poco corto Zend.
  • Testing: Symfony viene con tareas de testing por línea de comandos y genera una clase vacía para ello al crear un controlador. Mientras que Zend no ofrece soporte para testing.
  • Plantillas: Zend tiene un sistema de plantillas un poco verde al que hay que hacerle algunos hacks para realizar algunas cosas. Symfony, al contrario, su sistema de plantillas es muy maduro, al cual le puedes añadir módulos.
  • Plugins: más de lo mismo, Symfony es extensible, Zend no.
  • Módulos de bases de datos: Zend usa ActiveRecord, mientras que en Simfony le puedes añadir el motor que desees, incluso Zend_Db.

PHP: Symfony vs. Zend

Gracias David por el aviso.

6 Comments

  1. Muchas gracias, muy interesante, sin duda lo utilizaré.
    Por cierto, corrige el titulo del post.

  3. Paco, espero que te sea útil

    Josepzin, yo también uso CodeIgniter, pero en algunos casos sencillos, usar CI es demasiado y suelo tirar de estas librerías

  4. Pingback: Librería en PHP que te permitirá evitar SQL injection y XSS | Maya Digital
  5. Pingback: Librería PHP para evitar SQL injection y XSS | Adobe User Group Granada
  6. Pingback: Bibliotecas para evitar problemas en PHP « Mbpfernand0's Blog

Comments are closed.