Iniziamo una serie di articoli dedicati alla sicurezza delle applicazioni web in PHP. Questa volta parliamo della direttiva register_globals.

La direttiva register_globals, se attivata, comporta la creazione automatica delle variabili provenienti da GET, POST, Cookie e Sessioni. Il programmatore non deve più crearle manualmente: è direttamente lo script PHP che crea e valorizza le variabili con lo stesso nome utilizzato nelle query string.

Questo comporta una serie di problematiche di sicurezza, che se vengono trascurate possono elevare i rischi di cracking da parte di utenti malintenzionati.

Continua »

Per crittografare le password degli utenti di un sito web si utilizza spesso la funzione md5(), un algoritmo di hashing unidirezionale che a partire da una stringa di lunghezza arbitraria ne produce un’altra di 32 caratteri.

In PHP la gestione delle password nei moduli di registrazione degli utenti viene affidata alla funzione md5. In questo modo le password vengono crittografate e mantenute segrete agli stessi amministratori del sito. L’unico modo per risalire alla stringa iniziale è il brute force.

Questo tipo di codifica viene usata anche per calcolare la firma digitale dei file (fingerprint). Per approfondire questo argomento, leggi questo articolo.

Purtroppo la maggior parte degli utenti utilizzano password semplicissime (il propio nome, la data di nascita, etc). Questo può creare potenziali rischi nel vostro sito web. Scopriamo un metodo per rendere più sicuro il salvataggio delle password con PHP.

Continua »

Per contrastare il fenomeno dello spam e aumentare la sicurezza, a seguito della massiccia diffusione di virus attraverso la posta elettronica, la maggior parte dei server di posta richiedono l’autenticazione SMTP per inviare email.

La soluzione arriva da PHPMailer, una potente e versatile classe PHP che permette di gestire l’inoltro di email attraverso PHP, semplificando la scrittura del codice e abilitando alcune interessanti funzionalità.

Continua »

Un sito web dinamico dovrebbe offrire contenuti sempre aggiornati, con soluzioni HTML/CSS crossbrowser (cioè compatibili con la maggior parte dei programmi di navigazione). I webmaster attenti seguono costantemente il proprio sito per adattarlo alle esigenze della Rete.

Un problema frequente è quello di gestire il caching delle pagine HTML. Quando si richiede una pagina internet, il server Web elabora lo script PHP e restituisce la pagina in formato HTML: alcuni browser potrebbero visualizzare una versione “vecchia” della pagina, non aggiornata alle immagini e/o testi più recenti.

Continua »

L’anno bisestile si ripete ogni 4 anni ed è un accorgimento utilizzato in quasi tutti i calendari solari per mantenere in sincronia l’anno civile con il ciclo delle stagioni.

Le stagioni si ripetono una volta ogni anno tropico (il tempo che intercorre tra due equinozi o solstizi dello stesso tipo) e questo periodo è di 365 giorni, 5 ore, 48 minuti e 46 secondi.

Il nostro calendario, essendo più breve del periodo sopra indicato, causerebbe uno slittamento delle stagioni: ogni 4 anni accumulerebbe un giorno in più di ritardo. Per correggere questo slittamento, si utilizzano gli anni bisestili di 366 giorni.

Un anno bisestile ha, nel mese di febbraio, 29 giorni anziché 28. In questo articolo scopriamo come calcolare un anno bisestile attraverso i linguaggi di programmazione.

Continua »

Per salvare il codice HTML di una pagina web, in PHP esiste la comoda funzione file_get_contents(), compatibile con PHP 4 e 5.

Si tratta di una funzione molto semplice, in grado di leggere il contenuto di un file e memorizzarlo dentro una stringa. I dati vengono codificati in UTF-8, ma è possibile cambiare il charset.

Può leggere sia file di testo che file binari, e permette di personalizzare gli HTTP headers creando uno stream context con la funzione stream_context_create().

In questo articolo scopriamo tutti i dettagli e vediamo alcuni esempi…

Continua »

Per migliorare le prestazioni della sua piattaforma, Facebook ha pensato di modificare il motore PHP. Qualche tempo fa gli sviluppatori di PHP hanno incontrato i responsabili del social network per discutere sul progetto.

Il problema principale per Facebook è quello di soddisfare i milioni di utenti iscritti con funzionalità che rispondono in tempi ragionevoli e che non si bloccano alla prima occasione: la soluzione ideale era quella di unire i vantaggi di due linguaggi di programmazione: il PHP e il C++.

Continua »

I linguaggi di programmazione orientati agli oggetti (OOP) sono un compromesso tra facilità di manutenzione del codice (semplice riuso, maggiore modularità) e il carico di lavoro sulla CPU.

Se cercate solo prestazioni, esistono soluzioni differenti ai linguaggi OOP. Ma con alcuni accorgimenti è possibile anche scrivere codice PHP performante, che può essere eseguito in modo ottimale dall’interprete e che consente di risparmiare risorse preziose e tempo di esecuzione.

In questo articolo scopriamo quali sono i trucchi, poco conosciuti dagli stessi “addetti ai lavori”, che potranno rendere il vostro lavoro più semplice e veloce: 9 consigli per ottimizzare codice PHP.

Continua »

I feed reader sono script lato server, molto popolari nei siti web, in grado di leggere feed RSS e di visualizzare i risultati con soluzioni CSS e HTML differenti, adatte alle esigenze del webmaster.

Poco tempo fa, avevamo scoperto un interessante servizio per creare widget RSS da integrare in qualsiasi sito web. Questa volta analizziamo le funzioni di PHP 5 per creare e personalizzare un feed reader in PHP.

Continua »

Krumo è uno strumento utile per eseguire il debug avanzato delle applicazioni PHP: si tratta di una classe che restituisce informazioni strutturate sulle variabili e sui metodi dichiarati nel codice.

Sostituisce egregiamente i “vecchi” print_r(); e var_dump(); , ai quali gli sviluppatori facevano riferimento per eseguire il debug PHP. L’ultima versione di Krumo è compatibile solo con PHP5.

Krumo è una classe che interpreta il lavoro di debug PHP in modo semplice e funzionale, mostrando in output tutte le informazioni in modo elegante, con l’utilizzo di DHTML e CSS, e velocizzando il processo di debugging attraverso la sua capacità di attivare e disattivare globalmente ogni chiamata a Krumo.

Continua »