Artículos

5 formas de reforzar la seguridad de tus sesiones en PHP

5 formas de reforzar la seguridad de tus sesiones en PHP

Seguridad
En un post anterior había mencionado cuáles son los riesgos a los que están sujetas las sesiones PHP. En este artículo voy a darte algunos tips para mejorar la seguridad de tus sesiones y dormir más tranquilo :) 1. Usa siempre HTTPS La mejor forma de reforzar la seguridad de tus aplicaciones (No sólo de las sesiones) es utilizar tráfico cifrado, de esta forma, aún si alguien logra capturar el tráfico le será virtualmente imposible leer el contenido. Puedes conseguir certificados gratuitos usando, por ejemplo, LetsEncrypt 2. Cambia el nombre de tu cookie de sesión El nombre por defecto de la cookie de sesión es PHPSESSID pero puedes cambiarlo usando session_name() o desde la configuración de php (La variable session.name). Al cambiar este dato harás más dificultoso para un atacante…
Leer más
¿Qué tan seguras son las sesiones de PHP?

¿Qué tan seguras son las sesiones de PHP?

Seguridad
Seguramente escuchaste alguna versión de estas preguntas: ¿Es posible que alguien modifique sus cookies, les otorgue diferentes privilegios o inicie sesión como un usuario diferente? ¿Puede alguien robar las variables mientras están guardadas en el lado del servidor? ¿Que tan posible es que alguien te copie una session para usarla en su navegador? Una de nuestras principales preocupaciones como desarrolladores de software es la posibilidad de que algún hacker pueda robar información que los usuarios han confiado a nuestras aplicaciones. Si eso llegara a suceder nuestros clientes podrían verse en serias dificultades (y por lo tanto, nosotros también). Existen muchos modos en que un atacante puede colarse en nuestros sistemas y, lamentablemente, las sesiones no están exentas de riesgos. Para qué sirven las sesiones en PHP Las sesiones de PHP…
Leer más
¿cURL o file_get_contents? 6 tips para decidir

¿cURL o file_get_contents? 6 tips para decidir

Cómo hacer para...
Estás haciedo un script para obtener contenido desde una url y te encuentras que se puede hacer con curl y con file_get_contents... ¿cuál es la más apropiada para este caso? Antes de decidir, hazte estas preguntas ¿Qué diferencias hay entre cURL y file_get_contents? file_get_contents es una función de bastante alto nivel. Puede usarse tanto para leer archivos locales como remotos. cURL es una librería que permite la comunicación con diferentes tipos de servidores y protocolos. Esto significa que, si bien con cURL es posible lograr el objetivo, esta herramienta tiene muchas más aplicaciones que la primera. ¿Cuál es la más segura? Un punto muy importante es el de la seguridad, dado que se trata de intercambiar información con servidores remotos y, ahí donde dejamos una puerta abierta... el diablo puede colarse :)…
Leer más
¿Por qué tantos programadores dicen que PHP es un mal lenguaje?

¿Por qué tantos programadores dicen que PHP es un mal lenguaje?

Reflexiones
PHP es un MAL lenguaje, es el VB de esta decada PHP hace que aumente la probabilidad de que te lleguen proyectos que sabes que no tendrán futuro. Un día entero desperdiciado gracias a php maldito seas. Muerte al php y apache admin ¿Te suena algo de esto? Apuesto a que sí. Y sin embargo, también se escuchan cosas como: Yo pensé que PHP era un mal lenguaje también. Pero me di cuenta que el idioma mejoró muchísimo después de la versión 7. 2020 y sigue habiendo un montón de trabajo backend para PHP. yo no considero php mal lenguaje, solo existe desarrolladores con malas pràcticas Entonces... ¿en qué quedamos? PHP ¿es o no un mal lenguaje? Claramente la comunidad de desarrolladores está dividida en este punto. Y sí, PHP…
Leer más
Cómo mejorar la calidad de tus aplicaciones PHP

Cómo mejorar la calidad de tus aplicaciones PHP

Cómo hacer para...
A nadie le gusta encontrar bugs en sus aplicaciones. Mucho menos que sea el cliente quien los encuentre. ¿Qué podemos hacer para evitar estas desagradables situaciones? Testear. Qué significa testear una aplicación Testear una aplicación puede significar varias cosas pero básicamente, se trata de probar el funcionamiento tratando de confirmar que todo ocurre según lo planeado. La parte desagradable del testing es que sólo puede darnos seguridad de que la aplicación falla. En otras palabras el hecho de que todas las pruebas resulten exitosas puede significar dos cosas: Que efectivamente la aplicación esté libre de erroresQue no hayamos realizado suficientes pruebas Desafortunadamente no es posible determinar si estamos en la situación uno o la dos. ¡Claro que esto no significa que testear no valga la pena! El punto es que…
Leer más

Cómo extraer las imágenes de un PDF usando PHP

Cómo hacer para...
Trabajar con pdfs no es lo más cómodo del mundo.. especialmente cuando se trata de extraer información de ellos. Cuando se requiere realizar una misma tarea muchas veces es sumamente útil crear scripts para automatizar estas tareas. En este ejemplo te mostraré cómo extraer una imagen guardada en un documento como este: Por supuesto que no partiremos desde 0 habiendo tantas librerías disponibles. Qué librería PHP permite leer archivos PDF Existen diversas librerías para leer archivos PDF en PHP. Para este caso, una buena es https://github.com/smalot/pdfparser. Utilizarla es bastante simple. Comenzamos por instalarla usando Composer: composer require smalot/pdfparser Con esto tendremos acceso a objetos de tipo Smalot\PdfParser\Parser con los que podremos interpretar el contenido del archivo sin problemas. Lo próximo entonces es abrir el archivo utilizando las capacidades de la…
Leer más
Cómo testear una aplicación PHP que no usa objetos

Cómo testear una aplicación PHP que no usa objetos

Cómo hacer para...
PHPUnit, al igual que la mayoría de los frameworks de testing, se basa fuertemente en el supuesto de que la aplicación a verificar está desarrollada bajo el paradigma de Orientación a Objetos. Sin embargo, es muy común en nuestros días encontrarnos con aplicaciones tipo spaghetti... ¿es posible hacer testing automatizado sobre ellas? La respuesta es sí. Claro que las respuestas a qué testear y cómo testear son un poco diferentes. Qué puede testearse en una aplicación que no usa objetos Obviamente, no será posible verificar una clase porque... la aplicación no tiene clases. De modo que podemos testear: La página que se presentará al usuario (Lo que podríamos asemejar a un test funcional)El resultado de ejecutar alguna función en particularEl resultado de correr algún script Cómo testear el resultado de…
Leer más
Cómo testear los emails que envía tu aplicación

Cómo testear los emails que envía tu aplicación

Cómo hacer para..., Herramientas
¿Alguna vez te llegó un correo similar a este? Es un hecho: los mails que genera y envía tu aplicación son una parte de ella y, como tal, deben ser testeados. En este artículo te mostraré algunas técnicas que te ayudarán a encarar estas pruebas Testear emails enviando a un único destinatario Una técnica simple es hacer que todos los correos lleguen siempre a un mismo destinatario (a vos). La ventaja de esto es que prácticamente no necesitás nada extra (Nada que no tengas digamos). El problema es que implementar esto puede implicar ensuciar el código con condicionales aquí y allí. Si usas un componente para el envío (Como el Mailer de Symfony), las cosas pueden ser más simples. Basta con especificar el destinatario único en el archivo de configuración…
Leer más
Cómo saber el controlador que maneja una ruta en Symfony

Cómo saber el controlador que maneja una ruta en Symfony

Cómo hacer para...
El framework Symfony es de lo mejorcito que tenemos en el mundillo de PHP (Personalmente es mi favorito por lejos). Para procesar un request se requiere un método de alguna clase (Un controlador). Para decidir cuál es el controlador al que se debe invocar al momento de responder al pedido de un usuario se utiliza un componente llamado Router. Este componente conoce el mapeo entre una URI y dicho controlador. Existen diversos modos de definir este mapeo (por ejemplo mediante annotations). Esto hace que, si una aplicación es grande, puede ser algo complejo encontrar cuál es exactamente el controlador que se esconde detrás de una URL. En este artículo te mostraré un pequeño truco para obtener esa información. Voy a asumir que estás en algún tipo de consola POSIX (Linux,…
Leer más
Cómo resolver el Problema del N+1 en PHP y MySQL

Cómo resolver el Problema del N+1 en PHP y MySQL

Cómo hacer para...
Qué es el problema del N+1 Se trata de un problema de optimización de consultas a una base de datos. Imagina que tienes una base de datos con dos tablas: UsersPhoneNumbers Donde cada usuario puede tener muchos números telefónicos (Relación 1:N). Ahora, imagina que tienes que mostrar un listado de todos los usuarios junto con sus números de teléfono. Una forma de resolverlo sería utilizar una consulta tipo: SELECT * FROM users; Y luego: foreach ($users as $user) { $sql = "SELECT * FROM phone_numbers WHERE user_id = {$user->getId()};"; ... } Lo que sucede aquí es que realizamos una consulta para obtener todos los usuarios y luego, una más por cada uno. De ahí que el número total de consultas que se realizan es N (Número de usuarios) + 1.…
Leer más