Enlaces de navegación en edición de posts en WordPress

ByLuis

Algo que me desespera es tener que editar varios posts seguidos en WP (sobre todo antes del lanzamiento) y tener que ir del post actual, a la lista de post y elegir el siguiente post que necesito editar. Por ello he hecho este pequeño script que incluido en el functions.php incluye dos enlaces en la cabecera que apuntan a la edición del post anterior y al siguiente:

function add_navigation_edit_posts() {
  if(preg_match('#wp-admin/post\.php#', $_SERVER["SCRIPT_NAME"]) && isset($_GET['post']) &&  isset($_GET['action']) && $_GET['action'] == 'edit') {
    global $post;
    if(!empty($post) && $post->post_type == 'post') {
      foreach(array(true, false) as $prev) {
        $p = get_adjacent_post(false, '', $prev);
        if (!empty($p)) {
          echo '<script type="text/javascript">';
          echo 'jQuery(document).ready(function() {jQuery(".wrap h2").append(\''.($prev?'« ':'').$p->post_title.(!$prev?' »':'').'\');});';
          echo '</script>';
        }  
      }
    }
  }
}
add_action('admin_head', 'add_navigation_edit_posts');

Similar Posts

|

Evitar Cross-Site Request Forgeries en PHP

ByLuis

Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica bien).

Este ataque se produce cuando a un usuario se le conceden permisos, confiando en él, pero no teniendo en cuenta que otra gente pueda aprovecharse de ello. Supongamos que tenemos una página de compra de artículos, cuya aplicación controla perfectamente los campos de entrada y que tiene una función que realiza la operación de compra de artículos.

Tenemos el formulario HTML:

<form action="compra.php" method="POST">
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>

El primer fallo que solemos cometer es leer las variables de entrada mediante $_REQUEST:

<?php
session_start();
if (isset($_REQUEST['articulo'] &&
isset($_REQUEST['cantidad'])) {
compra($_REQUEST['articulo'],
$_REQUEST['cantidad']);
}
?>

Una forma muy utilizada para realizar un ataque y que al autor del artículo le gusta mucho, es mediante el uso de una imagen:

<img src="http://ejemplo.org/compra.php?articulo=CAFETERA&cantidad=1000" alt="ads" />

Con esto conseguimos que el usuario que visita nuestra página tambien haga una petición a la página en cuestión sin que él lo sepa, claro, que esto solo funciona si el usuario a la vez tiene una sesión abierta en la página que se está atacando.

La solución es añadir una marca formada por un número “encriptado” y un tiempo para que tenga que renovarse esta marca. La marca se debe crear y pasar en el formulario por el que se envían los datos y a parte se debe controlar su existencia, si coincide y si no ha superado el timeout.

<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>
<?php
if ($_POST['marca'] == $_SESSION['marca']) {
$diferencia_tiempo_marca = time() - $_SESSION['tiempo_marca'];
if ($diferencia_tiempo_marca <= 300) {
/* Menos de 5 minutos */
}
}
?>

Artículo original: Security Corner: Cross-Site Request Forgeries

Vía / backdraft

| |

Crear un buscador simple para tu página mediante PHP

ByLuis

Algo fundamental para una página web es el uso de un buscador para acceder al contenido deseado de forma sencilla. Hace tiempo que andaba buscando este artículo y gracias a dzone lo he encontrado.
Se trata de crear un script en PHP para crear un buscador en nuestro sitio web. Para ello primero tendremos que crear un estructura en la base de datos para almacenar la relación entre palabras y páginas. Se crearán tres tablas, una para almacenar las páginas, otra para almacenar las palabras y otra para almacenar la relación entre páginas y palabras.
En segundo lugar deberemos indexar las páginas, usando un script que pasándole una URL, se la baje, le elimine todas las etiquetas HTML, la separe en palabras y guarde todos los datos en las tablas.
Por último crear una página para realizar la búsqueda, un sencillo formulario y una consulta a la BD nos devolverá una lista de páginas que contiene dicha palabra.
La verdad es que más simple no puede ser, y lógicamente no parece muy óptimo. Se le podrían hacer varios ajustes al script, como por ejemplo crear una lista de palabras “tabú”, las cuales no indexará (preposiciones, artículos). También en la tabla de relaciones entre páginas-palabras se le podría incluir la posición de la palabra, así si queremos buscar dos palabras seguidas, poder localizar mejor estos casos. Otra opción sería localizar las etiquetas HTML de cabeceras (h1, h2, …) de la página, las etiquetas para resaltar texto (strong, em, b, i, u) y darle una mayor importancia o prioridad a esas palabras en la tabla de relaciones, así los resultados que nos devuelva la consulta, los podemos ordenar por prioridad, y no tener que encontrarnos entre los primeros resultados páginas que poco tienen que ver con lo que buscamos simplemente porque contienen la palabra. Y por último, se me ocurre que en la tabla de páginas se le podría añadir un campo que indicara el número de visitas que recibe, priorizando las busquedas en páginas más visitadas.
Este método no creo que sea el mejor, y seguro que hay algoritmos más optimos, pero creo que motores de búsqueda implementados en algunos CMS como por ejemplo WordPress son peores aún. Por ejemplo WordPress busca la palabra en cada post escrito y almacenado en la BD. Y si el CMS ya usa expresiones regulares peor aún, porque aún lo mucho que me gustan, si que es cierto que consumen muchos recursos. Así les ha podido pasar a algunos blogs que han tenido que usar la búsqueda mediante Google en vez de la que incluye su CMS.
Algo que también estaría muy bien sería dotar al motor de la capacidad de ignorar acentos, así si buscamos “cancion” nos debería devolver los mismos resultados que si buscamos “canción”. Con el método explicado sería relativamente sencillo, ya que solo habría que almacenar las palabras en la tabla de palabras sin acento y luego al ser enviada por el buscador, quitarle los acentos para que se busque sin ellos.
Building a Simple Search Engine with PHP
Vía / dzone

|

Laboratorio: añadir título a la cabecera usando PHP y filtros

ByLuis

El otro día nos preguntaban que funcionalidades se le podía añadir a la entrada Laboratorio: Recorta imágenes dinámicamente con PHP y HTML. Y aunque son muchas, depende de la imaginación que tengamos, a mí se me ha ocurrido escribir el título del blog en la cabecera usando un filtro blur para resaltar el texto, algo que he visto en varios lugares.
filtro.png

Read More “Laboratorio: añadir título a la cabecera usando PHP y filtros”

PHP 5.2.1 disponible

ByLuis

PHPHa salido a la luz la versión 5.2.1 de PHP, en la cual se solucionan bugs de seguridad, siendo recomendable que se actualice a esta versión.
Los cambios realizados se pueden ver en la release note y cabe destacar protección heap interna, mejoras en Zend Memory Manager y la extensión ZIP.
PHP 5.2.1 Released!

PHP Quick Profiler: librería para hacer debug en PHP

ByLuis

PHP Quick Profiler es una librería que nos puede ser muy útil cuando queramos realizar debug de nuestras aplicaciones PHP. Podemos integrar esta librería en cualquier código nuestro de forma muy sencilla, y los datos que nos devuelve, a parte de muy bien diseñados, son muy completos.
pqp.png
Podemos obtener datos del uso de memoria, includes de ficheros realizados, tiempos de ejecución, actividad de la base de datos o simples logs propios.
PHP Quick Profiler
Gracias David por el aviso (@dmnet)

Crear y leer ficheros Excel desde PHP

ByLuis

Crear ficheros Excel suele ser algo necesario en algunos proyectos debido a la implantación de este formato de ficheros. Una lástima que no se usen formatos estándar (.ODS), pero mientras tanto deberemos usar librerías como PHP Excel 2007.
PHP Excel 2007 nos permite escribir y leer ficheros Excel mediante PHP, aportando además numerosas características como la representación en memoria de la hoja de cálculo, modificación de la información del fichero, fórmulas, unir celdas, protección mediante contraseña, estilos, saltos de línea, ancho automático de columnas, filtros y muchas características más.
PHP Excel 2007

5 Comments

  2. Me gusta la idea 😉

    Pero le haría un cambio para hacer el snippet más “WordPress compliant” 🙂

    Puedes sustituir todas las condiciones del primer if por esta más sencilla:

    $current_screen->id = 'post'

  3. Upss! me deje un =, sería:

    $current_screen->id == ‘post’

    Para que no salgan los nuevos enlaces en el listado de posts, sólo en la de edición del post.

  4. Gracias Samuel, pero el script solo sale en la edición de posts, ya que evalua esta condición:

    $_GET[‘action’] == ‘edit’

    Eso sí, seguro que al script le faltan muchas cosas 🙂

    Gracias

  5. Gracias a ti por la idea 😉

    Sí, si el script sólo sale en la edición de posts… tanto el original como con la modificación que te propongo.

    Únicamente que en el primer comentario puse sólo un = y así sí que daría el problema de salir también los listados, de ahí mi segundo comentario, poniendo == sale sólo en la ventana de edición. Y no es necesario hacer se pedazo de if que haces 😉

    Yo es que soy muy fanático de usar siempre los métodos que proporciona WordPress en lugar de hacerlo con php “estándar”. Porque así siempre tienes más opciones de compatibilidad futura e incluso de mejor rendimiento.

    Pero vamos, que sí, que el script funciona igual en su formato original 😀

Comments are closed.