Să nu ai încredere în nimeni!

Revenind la partea de dezvoltare web, utilizatorul va interacționa cu website-ul nostru într-un mod foarte simplu: trimite niște date și o să primească un răspuns. Aceste date pot să facă parte din cereri de autentificare, înregistrare, căutare, etc.

Spre exemplu în cazul unui formular de autentificare, datele trimise de utilizator sunt user-ul și parola. În baza acelor date utilizator o să primească un raspuns: autentificarea a reușit sau nu. Se poate face referire la aceste date primite folosind termenul user input sau untrusted data.

Concepția greșită este că datele primite de la utilizator se pot filtra.

De cele mai multe ori nu poți curăța/filtra datele primite de la utilizator, pentru că afectează ireversibil informația primită și într-un mod sau altul va afecta și modul în care website-ul este perceput de către acesta. Singurul caz în care poți filtra informația primită este atunci când accepți doar un anumit format, ca de exemplu bbcode sau markdown. Alternativa este să folosim escape în funcție de contextul în care este folosită informația primită de la utilizator.

• Dacă informația este folosită pt a interoga o bază de date, folosim prepared statements sau dacă esti încă blocat în lumea extensiei mysql folosești mysql_escape_string (și nu uita să citești despre o alternativă mult mai bună).
• Dacă informația este folosită pt output într-un context HTML, folosești htmlspecialchars.
• Dacă informația este folosită pt output în shell, folosești escapeshellcmd si escapeshellarg

După cum vedeți regulile sunt simple. Dacă se ține cont de faptul că orice date primim or să ajungă într-un fel sau altul în contact cu baza de date, este de la sine înțeles că trebuie să ne protejăm împotriva SQL injection, iar când includem datele primite înapoi în pagina HTML, trebuie să ne protejăm împotriva XSS.

Utilizatorul nu interacționează cu un website doar prin intermediul formularelor.

Mulți fac greșeala să asocieze user input cu formularele incluse într-un website, uitând că utilizatorul nu interacționeaza cu website-ul doar prin intermediul formularelor, ci și prin alte metode, precum paginarea. În PHP accesăm aceste date nesigure (untrusted data) prin intermediul variabilelor globale, precum $_GET, $_POST, $_REQUEST, $_COOKIE, $_FILES, etc. Exact datele conținute de aceste variabile trebuie verificate.

Spre exemplu, la autentificarea unui utilizator o să fie nevoie să folosim escape în două contexte diferite:

• Când folosim datele introduse de utilizator să interogăm baza de date pt verificare.
• Când afișăm acele date înapoi în pagină.

Pentru interogarea bazei de date folosim AntDb care oferă protecție împotriva SQL injection direct din fabrică:

<?php
$user = $db->fetchAssoc(
            'select * from users where username = ? AND password = ?', 
            array($_POST['username'], $_POST['password'])
        );

După ce utilizatorul a fost autentificat, să presupunem că vrem să afișăm o urare:

<?php
    // folosim htmlspecialchars pt protectie impotriva XSS
    echo "Bine ai revenit ". htmlspecialchars($user->username);

Dacă username-ul este spre exemplu Yo > Daddy, în pagină o să fie afișat exact la fel, dar dacă ne uităm în sursă o să vedem ca semnul > a fost transformat în >. Aceeași transformare se întamplă cu orice caracter care are o anumită semnificație în HTML și asta oferă protecția XSS.

Mai sunt multe de spus pe marginea subiectului, dar timpul și spațiul limitat mă obligă să amân dezvoltarea subiectului, poate în articole viitoare.

Invață modul corect!

De cele mai multe ori nu este de ajuns să îi spui cuiva că ceea ce face nu este bine și să îl trimiți să citească manualul. Mai ales pentru un începator, cantitatea de informație pe care trebuie să o absoarbă poate să fie puțin intimidantă și să îl facă să se lase păgubaș.

Cea mai mare problemă a mea când văd cod scris de începatori sunt interogările la baza de date. Și după multe eșecuri de a încerca să îi învăț modul corect de a rezolva o anumită problemă și multe plângeri că PDO este mai greu de învățat, mi-am zis că poate reușesc să îi “oblig” să folosească modul corect. Cum nu îi pot obliga în adevăratul sens al cuvântului, m-am decis să scriu un wrapper PDO care să fie îndeajuns de simplu de utilizat pt un începător, încât să aleagă singur să il foloseasca în defavoarea extensiei originale mysql.

Să construim încă un wrapper PDO zic.

AntDb

Și am început să îl construiesc. AntDb este un wrapper PDO foarte mic, sigur, ușor de folosit și care se chinuie să păstreze pe cât posibil API-ul de la DBAL, pentru a facilita o viitoare migrare. Acest wrapper este inclus într-un singur fișier, conține doar câteva metode care oferă un acces facil la baza de date și care înlătură stresul mysql injection.

Să presupun că avem un tabel “users“, care este format din 3 coloane: “id“, “username“, “password” și dorim să adăugăm un nou user proaspat înregistrat în acest tabel.

Folosind extensia mysql, acest lucru se poate face cam așa:

<?php
mysql_connect('127.0.0.1','username','password');
mysql_select_db('dbname');

// multe persoane procedează în mod greșit așa:
$user   = $_POST['username'];
$pass   = md5($_POST['password']);

// cei care sunt conștienți de amenințarea sql injection, procedează așa:
$user   = mysql_real_escape_string($_POST['username']);
$pass   = md5($_POST['password']);

$sql    = "INSERT INTO users (username, password) VALUES ('$user', '$pass')";
$rs     = mysql_query($sql);

if (!$rs) {
    echo "Could not execute query: $sql";
    trigger_error(mysql_error(), E_USER_ERROR); 
} else {
    echo "New user has been added.";
} 

Folosind AntDb, același lucru îl putem face astfel:

<?php
require_once 'AntDb.php';

$config = array(
    'host' => '127.0.0.1',
    'user' => 'username',
    'pass' => 'password',
    'name' => 'dbname'
);

// conectare și selectare db
if (!$db = new Gentle\AntDb\AntDb($config))
    die("Can't connect to MySQL. [ERROR]: %s". $db->getLastError());
}

// adăugăm noul user
$db->insert('users', array(
    'username'  => $_POST['username'],
    'password'  => md5($_POST['password'])
));

if ($db->hasError()) {
    echo "[ERROR]: ". $db->getLastError();
} else {
    echo "New user has been added.";
}

Simplu ? După cum vedeți nu am folosit escape string nicăieri în al 2-lea exemplu și totusi respectivul cod nu este vulnerabil la mysql injection. Aceasta “magie” se întâmplă “în spatele cortinei” și ne scapă de un stres suplimentar. Mai multe exemple de utilizare a clase AntDb există aici și în zilele următoare voi incerca să adaug pe github mai multe exemple de utilizare a acestui wrapper.

e fiecare dată când încep un nou proiect trebuie să fac diferite setări înainte de a începe lucrul efectiv. Multe setări se repetă într-o oarecare măsură la fiecare proiect, precum adăugarea unui vhost în config-ul Apache şi adăugarea unei noi intrări în fişierul hosts. Task-urile repetitive nu sunt punctul meu forte, aşa că am încercat simplificarea procesului.

Apache wildcard DNS

Adaugă la sfârşitul httpd.conf:

NameVirtualHost *:80
UseCanonicalName Off

<VirtualHost *:80>
    ServerAlias *.dev.box
    DocumentRoot "D:/www/_domains"
    VirtualDocumentRoot "D:/www/_domains/%-3+"
    php_admin_value auto_prepend_file "D:/www/_domains/set_docroot.php"
</VirtualHost>

Dacă încep un proiect pentru gentle.ro de exemplu, creez un director "gentle.ro" în "D:/www/_domains" şi îl pot accesa din browser folosind adresa "http://gentle.ro.dev.box". Totul funcţionează bine, mai puţin "DOCUMENT_ROOT" care o să fie întotdeauna "D:/www/_domains".

Pentru a rezolva problema asta am creeat fişierul "D:/www/_domains/set_docroot.php" (vezi php_admin_value din VirtualHost) în care am adăugat:

<?php

# append the current directory name to document root
$location = explode(".",$_SERVER['HTTP_HOST']);

# remove `dev.box` suffix
$location = array_slice($location, 0, count($location)-2);

# set new documment root
$_SERVER['DOCUMENT_ROOT'] .= '/'.implode('.', $location);

Fişierul hosts:

Utilitarul hostcmd îţi permite să modifici intrările din fişierul "hosts" din linia de comandă, foarte uşor şi rapid.

Hosts Commander v1.5.1 [19.11.2011]
(c) 2010-2011 Evgeny Vrublevsky 

Usage:
  hosts - run hosts command interpreter
  hosts   - execute hosts command

Commands:
  add     #    - add new host
  set    #         - set ip and comment for host
  rem     - remove host
  on      - enable host
  off     - disable host
  view [all]   - display enabled and visible, or all hosts
  hide    - hide host from 'hosts view'
  show    - show host in 'hosts view'
  print      - display raw hosts file
  format     - format host rows
  clean      - format and remove all comments
  rollback   - rollback last operation
  backup     - backup hosts file
  restore    - restore hosts file from backup
  recreate   - empty hosts file
  open       - open hosts file in notepad

Referinţe: Apache vhost, Apache VirtualDocumentRoot

Happy coding!

Acest lucru se poate evita relativ uşor de către fiecare profesor în parte, dacă s-ar interesa ce îşi doreşte elevul şi şi-ar ajusta pretenţile în funcţie de asta. Dacă elevul vrea să se ducă la medicină, îl inveţi lucrurile de bază la matematica, fizica şi ai pretenţia sa fie de 10 la biologie şi chimie. Dacă elevul vrea să se ducă la jurnalism, ai pretenţia să fie as la română. Dacă elevul vrea sa se îndrepte către o facultate tehnică, pretenţia creşte la matematică si eventual fizică. Din păcate la noi în ţară, de cele mai multe ori, discuţia dintre elev şi profesor se rezumă la cea de la cursuri, salutări, schimbat 2 vorbe în plus când elevul vine cu câte o atenţie pt. profesor la vre-o sărbătoare şi cam atât.

Cine reuşeşte să tocească pe toată perioada liceului şi termină cu o medie bună la fiecare materie, este privit ca un individ foarte deştept, deşi uneori este vorba doar despre capacitatea de memorare ceva mai mare decât media. Aceşti elevi sunt puţini, sunt pe placul profesorilor, sunt mândria părinţilor şi astfel primesc laude tot timpul, din toate parţile. Aceste laude care le tot aud în 4 ani de liceu, îi lasă cu falsa impresie că ei chiar sunt deştepţi, că sunt
deasupra tuturor şi că trebuie să fie priviţi ca nişte zei.

Când un astfel de individ îţi este coleg de servici, îl eviti, iar când îţi este prieten mai mult sau mai puţin apropiat, il laşi în lumea lui. Din păcate astfel de indivizi ajung şi în posturi de conducere şi inevitabil aproape, te trezeşti peste noapte cu un şef infatuat care are în fiecare zi o pretenţie absurdă şi care atunci când îi pleacă oameni din firmă, nu este niciodata vina lui. Ei erau leneşi şi nu aveau nici o ambitie din punct de vedere profesional.

Ocazional un astfel de individ mai ajunge şi la departamentul HR de la cine ştie ce firmă şi inevitabil apar anunţuri de anunţurile de angajare în care se cauta câte un om bun la toate.

Te înţeleg prietene că ai memorie bună şi ai reuşit în liceu şi/sau facultate să memorezi câţi domnitori români au existat, între ce ani au domnit şi câţi izotopi are carbonul, dar la programare este puţin diferit, doar pt. că ai de învăţat, memorat şi amintit o grămadă de lucruri. Dacă cunoşti sintaxa şi reuşeşti să utilizezi o librărie scrisă de altcineva, asta nu îţi dă dreptul moral să îţi mai adaugi o tehnologie cunoscută în CV.

Departamentele de HR se tot încăpăţânează să facă astfel de anunţuri, în care se caută un om care să ştie 2 – 3 – 4 lucruri. Uneori câteva dintre ele nu sunt nici macar înrudite.

Termenul “programare” face referire la un domeniu destul de vast, care se împarte în ramuri, la fel ca şi avocatura de exemplu. Nu o sa gasiţi în veci un om care să ştie să se descurce pe mai multe ramuri la fel de bine. Fiecare tehnologie are chichiţele ei şi ca să ajungi să le cunoşti ai nevoie de timp. Cât timp înveţi chichiţele de la a 2-a tehnologie, prima este deja cu mult înaintea cunoştinţelor tale şi trebuie să te întorci ca să recuperezi, inclusiv ceea ce ai uitat între timp. Inevitabil câteva persoane preferă să se dedice unei singure ramuri şi să ajungă cât se poate de bine pregatiţi în respectiva arie, pe cand marea majoritate învaţă câte puţin din mai multe sau din toate, dar nu stăpânesc nici măcar una la un nivel mediu.

Ghici pe cine o să prefere omul de la HR, la un interviu de angajare.

  Ştirea de care m-am tot lovit în ultimele ore, este cea referitoare la cutremurele recente. Dacă este cutremur, inevitabil apare şi domnul Mărmureanu la TV. De data asta puţin îngrijorat.

“Conform datelor statistice, în acea zonă a Asiei, marile seisme se petrec o dată la aproximativ 500 de ani. Dar din 2004 încoace acolo s-au înregistrat deja trei seisme de peste 8 grade, ceea ce iese din ştiinţa statistică a seismologiei, ce nu se poate explica. Ceva nu e în regulă! Sunt prea multe seisme mari în zona Indoneziei” – Libertatea.ro

  Statisticile alea există de pe la 1900 (parcă), iar cutremurele de aproximativ 4.5 miliarde de ani şi totuşi domnul Mărmureanu este profund îngrijorat pentru că activitatea seismică recentă, iese din tiparele statisticilor generate în 100 şi ceva de ani. 100 de ani în termeni geologici, este cam cât îmi ia mie să râgâi în timp ce îl văd pe domnul Mărmureanu cum se îngrijorează la TV şi explică de fiecare dată aceleaşi lucruri.

  Pe zi ce trece domnul Mărmureanu lasă tot mai mult impresia că doar îi place să apară pe sticlă şi când nu are nimic serios să transmită, se mai îngrijorează niţel.

  Nu era mai corect dacă ne îngrijoram peste 200 – 300 de ani, când poate omenirea înţelegea măcar jumatate din toate lucrurile legate de cutremure ? Nimeni nu ştie exact de ce, când, unde dar … ştiţi voi … ne mai îngrijorăm puţin.

Este de apreciat că au ieşit în stradă câteva mii de persoane (un record în România), chiar dacă o parte dintre ei erau gură cască, altă parte suporteri de pe la diferite echipe de fotbal care au mai găsit o ocazie să se ia la trante cu poliţia, altă parte suporteri ai opoziţiei care încercau să agite spiritele şi doar o mică parte erau acolo cu scopul precis de a protesta.

Protestaţi ca să îl schimbaţi pe Băsescu, cu cine ?

Dacă ai impresia că demisia lui Băsescu va rezolva problemele de fond ale acestei ţări, înseamnă că eşti încă în gimnaziu sau ai probleme grave la mansardă. Protestaţi ca să îl schimbaţi pe Băsescu cu cine ? Are cineva impresia că există în acest moment “o mană” de politicieni mai capabili, care să preia puterea şi să readucă această ţară pe linia de plutire ? Dacă da, vreau şi eu lista acestora, cu nume, prenume şi CNP.

În Romania este o democraţie cu aer de totalitarism.

Ne este garantată libertatea de exprimare prin articolul 30 din constituţie, dar avem nevoie de autorizaţie pentru a organiza un protest în stradă. Nu poţi să ceri autorizaţie pentru protest, de la cei împotriva cărora se îndreaptă viitorul protest, aşa că ieşi în stradă plin de optimism că totul se va schimba. Dar până să se schimbe ceva în ţară, dai piept cu poliţia trimisă special pentru a dispersa “huliganii” şi te alegi tu cu mutra schimbată.

Susţineţi protestul pe reţelele de socializare şi o faceţi cu îndârjire, aer de superioritate şi o prostie debordantă. În stradă nu aţi ieşit niciodată, pentru că apare întotdeauna ceva mai important şi nu aveţi timp. Studentul învaţă, părintele se duce la servici, bunicul se uită la emisiuni dubioase la TV şi nu există timp să mai iasă vreunul dintre ei la proteste.

Dacă “găseaţi” puţin timp liber să luaţi parte la un protest, de orice amploare, înţelegeaţi pe loc că în Romania nu se poate protesta în stradă fără să nu îţi iei din senin un scut în faţă şi un baston pe spinare de la jandarmi, fără să nu ajungi la secţie şi fără să nu simţi respiraţia împuţită (la propriu) a unui poliţist gras, foarte contrariat de faptul că eu am nume străin, dar cetăţenie română şi care ocazional îţi mai scuipă involuntar în faţă şi câteva resturi de shaorma şi seminţe desprinse dintre dinţii îngălbeniţi de tot căcatul consumat în carieră.

Toate organele supte de ASE-izde nu reuşesc să egaleze de câte ori am interacţionat cu poliţia până acum şi am ajuns la concluzia că în respectiva instituţie (mă refer la Poliţie. ASE-ul este bordel, nu instituţie) există foarte puţine persoane care pot susţine o discuţie civilizată. Dacă ajungi să depinzi cu ceva de poliţie sau preoţi, mai bine îţi dai foc. Dacă de preoţi nu prea pot să fug, de poliţie şi proteste încerc să păstrez distanţa, pentru că sunt păţit cu ambele.

Dacă TU crezi cu tărie că aceste proteste pot aduce o schimbare în mai bine, eşti un imbecil. Dar încearcă să îţi arăţi imbecilitatea în stradă, nu dând din gură pe Facebook sau Twitter şi încercând susţinerea unor discursuri de moralitate faţă de cei care nu cred în aceste aşa zise proteste, când tu încă ai impresia că poliţia te poate proteja şi o face, că atunci când există o suspiciune în privinţa ta, trebuie să te duci la poiliţie şi să îţi arăţi nevinovăţia şi că dreptatea o să triumfe întotdeauna. A avea o părere despre orice, indiferent dacă te pricepi sau nu la acel lucru, este sport national, dar încearcă să păstrezi părerea imbecilă pentru tine. Cine ştie, poate astfel o să ai norocul ca lumea să aibă impresia că eşti inteligent.

Dacă vrei să discutăm despre cum arată un protest în România văzut din stradă şi ce înseamnă să protestezi, ieşi măcar o dată în stradă la un protest, încearcă să supravieţuieşti 2 ore în mijlocul manifestanţilor şi după aia discutăm. Până atunci poţi să procedezi ca ASE-izdele în sesiune: ia-o in gura!

agencynet.com

airforce.com

aussiebbqlegends.com

barleypop.com

cathedralcity.co.uk

deanmuller.com

duirwaigh.com

ecoki.com

fingerboardy.pl

foxie.ru

gardenerandmarks.com.au

git-tower.com

gominimango.com

icebergquest.com

justdot.gr

mikedascola.com

rafimmedia.com

simpleasmilk.co.uk

tyukanov.com

cazional mai primesc mesaje destul de ciudate, haioase sau cretine prin intermediul formularului de contact, comentarii pe blog sau email. Ca să îmi mai întreţin cei 3 cititori care îi am, azi inaugurez o nouă categorie pe blog, Dilema Cititorului, în care voi publica o parte din genul de mesaje amintite anterior.

Ocazional este foarte posibil să public în această categorie şi răspunsuri la întrebări serioase, care le primesc în mod frecvent sau care sunt interesante în opinia mea.

Eventale întrebări le puteţi trimite prin intermediul formularului de contact. Răspund la orice mesaj serios şi după cum spuneam anterior, celor interesante le pot raspunde şi pe blog.

cum arati ?

Cu degetul şi pentru asta îmi iau câte o mustrare de la mama de fiecare dată.

Salut vim! Ce imi poti spune despre site-ul meu www.*****.com ?

Site-ul funcţionează, felicitări!

pentru un site facut de tine numai cu bani pot sa iti platesc ?

Accept deasemenea Grasă de Cotnari, cozonac, cafea, alune şi mandarine proaspete.

esti un magar!!! cand cei inceta asta ???

Când vor recunoaste ai tăi că eşti înfiat.

de ce nu imi merge site-ul ?

Stai să îmi consult globul de cristal şi îţi răspund pe mail.

A

ceastă propietate cu o suprafaţă de aproximativ 850.000 m2, este situată pe malul lacului Tahoe din Nevada, SUA. Casa în stil nord european, a fost construită de la zero de către Joel Horowitz, co-propietar al corporaţiei Tommy Hilfiger, ocupă o suprafaţă de aproximativ 1800 m2, are o pivniţă cu aproximativ 3.500 de sticle de vin, o piscină acoperită şi un cinematograf cu 19 locuri.

Preţul estimat al acestei propietăţi la începutul lui 2011 a fost de 100 milioane de dolari.