Compilando en PHP

Aunque esto no sea novedad para algunos, en PHP también podemos "compilar" el código, gracias a una extensión de PEAR(PHP Extensión and Application Repository) llamada bcompiler; ¿el porqué coloco compilar entre comillas?: porque en realidad bcompiler no compila, sino que genera los "bytecodes" que php normalmente genera para ejecutar los scripts en memoria.

Para los que conocen JAVA sabemos que los bytecodes son un semi-lenguaje de máquina optimizado para una rápida lectura y ejecución por medio de las denominadas "Máquinas Virtuales" como lo es JAVA, y últimamente .NET Framework, entre otras.

En el manual sobre bcompiler (en inglés) se trata de la compresion del bytecode, y para configurarlo se requiere de muchas cosas que decidí omitir; lo que pasa es que el bytecode resultante del script puede ser incluso más del doble del tamaño (en bytes) que el archivo fuente original, ¿por qué?: simplemente porque en el bytecode se especifican muchos más datos, además del algoritmo en sí, de modo que la máquina virtual pueda traducirlo al lenguaje de máquina de la máquina (valga la redundancia) en donde se ésta ejecutando, como la mundialmente conocida arquitectura x86.

Instalación

Windows: En paquetes como WAMP y XAMMP (windows), ésta librería ya viene incluida, sólo basta instalar/configurar primero PEAR y luego incluir en el archivo de configuración php.ini la línea: extensión=php_bcompiler.dll en "dynamic extensions", PEAR no es realmente necesario, pero puede ser que necesiten de algunas funciones de PEAR.

GNU/Linux: aquí es otra Historia, pueden probar si el paquete XAMMP para linux trae la librería, pero no se los aseguro, además con PEAR lo puende instalar, de todos modos intente añadir al archivo de configuración php.ini: extensión=bcompiler.so y luego pruebe con phpinfo(); si la extensión bcompiler aparece (debe reiniciar apache).

Ubuntu 8 LTS: con el APACHE/PHP instalados por synaptic, instale los siguiente paquetes por synaptic:

• pear
• php5-dev
• bzip2
  
• libbz2-1.0
• libbz2-dev
• libzip1
• libzip1-dev
• pbzip2

Una vez instalados abra el terminal (consola) y ejecute (le solicitará contraseña del administrador):

sudo pecl install bcompiler-0.8.tgz

Añada al archivo de configuración php.ini: extensión=bcompiler.so
Reinicie apache y compruebe que aparece la extensión bcompiler por phpinfo();

¡Manos a la Obra!

Para precompilar nuestro primer script necesitamos 3 archivos (origen.php, destino.php, compila.php); en origen.php estará el código fuente, a destino.php debe otorgarle PERMISOS DE ESCRITURA (GNU/Linux), y en compila.php coloque lo siguiente:

<?php
$fh = fopen("destino.php", "w");
bcompiler_write_header($fh);
bcompiler_write_file($fh, "origen.php");
bcompiler_write_footer($fh);
fclose($fh);
?>

Sólo basta ejecutar desde el explorador http://localhost/compila.php y si no aparecen errores está listo!: ejecute http://localhost/destino.php y aparecerá lo mismo que en origen.php, pero si revisa el código de destino.php notará que ya no es el mismo código, sino un conjunto de datos incomprensibles.

Puede incluso compilar todo tu sistema en php y puede utilizar ambos archivos: los bytecodes o los normales, bcompiler se encarga de todo, puede incluso hacer include y require a un archivo bytecode php de bcompiler, ambos pueden tener la extensión ".php".

Eso sí: se puede duplicar el tamaño en bytes del sistema, pero el rendimiento es el mismo: los no-compilados deben de interpretarse y luego compilarse en memoria antes de ser ejecutados; los precompilados "pesados" pasan a memoria inmediatamente, y si utiliza bytecodes comprimidos tienen que "descomprimirse" y ejecutarse. así que básicamente el rendimiento de su sistema no variará mucho.

El único detalle sería el comportamiento de __LINE__ y de los reportes de errores, como es una extensión experimiental puede ser que el valor retornado por éstas funciones no sea el mismo que cuando se ejecuta un script normal (no precompilado); por eso le recomiendo evaluar bien todo su código antes de precompilarlo.

Seguridad en PHP - 2da Entrega "Inyecciones HTML"

Básicamente, las inyecciones HTML son similares a las SQL Inyections, pero digamos que con un efecto menos perjudicial para los datos, pero si para el usuario, el problema de las HTML Inyections son los Scripts no autorizados.

Cuando posteamos en un foro cualquiera, éste nos muestra un textarea o área de texto en donde se nos permite escribir lo que sea, "lo que sea" incluye también código javascript y con él se pueden hacer terribles cosas, la más simple es bloquear "colgar" el navegador:

<script language="javascript">
do{alert ("bloqueado");}while(true);
</script>

La más horrible: redireccionar a una página similar, en donde exponga al usuario a phishing y quién sabe más.

¿Pero que terrible, y qué puedo hacer?: Verificar toda la data proveniente del textarea, puede simplemente filtrar los datos con la función htmlspecialchars() u otra similar, pero si usted desea que su foro PHP cuente con varias opciones de texto enriquesido: lo mejor es buscar las subcadenas "script, javascript:", controlar los eventos a capas "onload, onclick" y todo lo relacionado con javascript o metatags "...META HTTP-EQUIV='Refresh' URL... ".

Filtrar ésta clase de datos es imprescindible para garantizar la seguridad del usuario, es muy recomendable incluso si se utilizan editores WYSIWYG, OCX o Apples de Java.

Vista Teatro, lo nuevo en YouTube

Desde ahora el famoso portal comunitario de vídeos YouTube estrena un nuevo modelo de vista llamado "Vista Teatro", el nuevo modelo surge por las concurrentes criticas y sugerencias que ha recibido el portal al no ofrecer mayor calidad en el servicio; YouTube desde entonces ha habilitado el modo HD, pero la singular característica de ésta nueva vista trata de resolver el problema de la proporción de pantalla 16:9 común para los vídeos de Alta Definición (HD).

El nuevo modo expande la vista en todo el ancho de la página y rellena los espacios laterales con un "telón rojo", mientras oscurece el resto de la página "luces apagadas" y pueden volverse a "encender" con un botón bombillo.

Muy pocos vídeos presentan esta nueva característica, poco a poco se integrarán más, para poder deleitarnos desde el principio vean éste vídeo de la Universidad de Standford y aprecien la nueva Vista Teatro.

Instalando... Postgres en Ubuntu GNU/Linux

Instalar Postgres en GNU/Linux no es tan sencillo como en windows, en este post sólo trataremos de instalarlo en Ubuntu 8.04 GNU/Linux que también aplica para el Debian 4 de donde deriva éste.

1) En aptitude o synaptic instala los siguientes paquetes:

• postgresql (la última versión disponible 8.03)
• postgresql-client (generalmente es requerido por el anterior y se instala al instalarse el postgres)
• pgAdmin3 (última versión)
• php5-pgsql (para conectarse desde PHP)
  

Te recomiendo synaptic, es más cómodo; luego de instalar los paquetes para utilizar postgres hay que cambiar la contraseña del usuario administrador en postgres y la del usuario postgres en ubuntu, es decir, son 2 usuarios: uno de la base de datos y uno del sistema operativo; en principio trata de elegir una contraseña simple si lo que quieres es desarrollar, cuando instales tu aplicación y la base de datos en el equipo donde se ejecutará elije una contraseña compleja, no lo olvides.

2) Cambiando la contraseña del usuario administrador de postgres (postgres): abrimos el terminal y tecleamos:

sudo su postgres -c psql template1 (te pedirá la contraseña del administrador del Sistema root)

ALTER USER postgres WITH PASSWORD `password´; (colocamos la contraseña)

\q

3) Ahora cambiamos la contraseña del usuario postgres del sistema operativo en la misma consola, puede que nos vuelva a solicitar la contraseña del root:

sudo passwd -d postgres

sudo su postgres -c password (omite este paso si el anterior te muestra: password changed o contraseña cambiada)

¡Y listo!, con esto podremos utilizar postgres y abrir pgadmin, puede que tengas que reiniciar el servicio del postgres desde la consola: sudo /etc/init.d/postgresql-8.3 restart.

Ésta es la conflagración básica del postgres que SÓLO ADMITE CONEXIONES LOCALHOST lo que quiere decir que el servicio postgres ésta cerrado a conexiones remotas, lo que es muy útil cuando se utiliza con PHP ya que éste se conecta de modo local y evitamos que se conecten a nuestra base de datos de afuera, si quieres que el servicio postgres admita conexiones externas (remotas) puedes seguir los pasos de la siguiente guía omitiendo los anteriores que yo expuse aquí: Linuxsan- Instalando Postgres en Ubuntu

Y hasta aquí esta pequeña pero útil guía para comenzar con postgres.

Scareware, Una FALSA amenaza

¡ATENCIÓN!, las nuevas formas de ataques informáticos cada día son de lo más impresionantes, una de éstas es la denominada "scareware" o "software de susto", que consiste en un falso mensaje de un sitio web en que se le notifica al usuario que su computador ésta infectado, y en el cual le recomienda instalar un programa para supuestamente desinfectarlo como en la imagen de éste post que parece convincente, tal cosa no existe, lo único que se le asemeja es el servicio en línea de panda labs para escanear el equipo, pero éste servicio no notifica hasta instalarse la presencia de algún virus, por lo que usted debe ignorar cualquier mensaje o popup que le muestre que su equipo está infectado.

Hablando en términos de programador Javascript no tiene el acceso suficiente al sistema de archivos para "realmente" verificar si el equipo ésta infectado (a menos que el Script Host esté activado y el script con VBScript, pero eso ya es historia), además ¿cuanto tiempo tarda su antivirus en analizar su disco o la memoria completa? mínimo minutos, no segundos e imagine cuanto tardará el supuesto script en descargar la lista de firmas de virus si mínimo la del panda que tengo hasta hoy ¡pesa 8 MB!, es decir, úse la lógica, ni firefox ni Microsoft IE ni algún otro navegador podrán avisarle que su equipo está infectado.

Así que pendiente, ignore todo aquello que supuestamente le recomiende descargar "falsas soluciones", los antivirus nunca le preguntarán por la descarga de un programa, ellos sólo actualizan su firma y motor de búsqueda, y en el caso del servicio de panda labs éste debe instalarse primero, NUNCA le avisará antes.

Seguridad en PHP ¡No apto para Novatos!, Entrega 1

Como lo prometido es deuda, voy a segmentar el tema Seguridad PHP en varias partes, debido a que es un tema delicado y en que debo enfatizar en el porqué de cada medida de seguridad.

Entrega 1: Inyecciones SQL

¿que qué es una SQL Inyection?: es un método para alterar la cadena SQL y que el interprete de la base de datos ejecute otras acciones perjudiciales para el sistema; la más simple que voy a explicar aquí trata de vulnerar a la mayoría de los sistemas que INICIAN SESIÓN desde una tabla en su base de datos; debo aclarar que ésta técnica NO ES CORRECTA para empezar, pero como la mayoría lo ha echo así, no me queda más remedio que indicarles las providencias necesarias para resolver éste problema.

Supongamos que su sentencia para iniciar sesión sea esta:
$usuario=$_POST['usuario'];
$contra=$_POST['contra'];
$sql = "SELECT * FROM usuarios WHERE user='".$usuario."' AND password='".$contra."';";
if (mysql_fetch_array(mysql_query($sql,$coneccion))) {
//acceso al sistema
}

Como podemos ver ésta sentencia devuelve TRUE en el caso de que se encuentre el usuario y la contraseña correctos dándole acceso al sistema, pero en el caso de que sea un cracker el que envía un formulario falso en donde coloque en la variable del POST $usuario el siguiente valor: ' OR 1=1 #
Pues sencillamente el carácter de apóstrofo (') cerraría la cadena en SQL y con el OR 1=1 quedaría que user='' OR 1=1 que devuelve TRUE y para rematar el carácter numeral (#) que en la mayoría de las bases de datos es el de comenzar comentarios, lo que significaría que se ignoraría el resto de la consulta quedando así para el interprete SQL: SELECT * FROM usuarios WHERE user='' OR 1=1 y por ende el resultado sería TRUE, otorgándole acceso al sistema.

¿Cómo puede ser?, ¿hay manera de evitarlo?, Las Magic Quotes activadas en PHP en la MAYORÍA DE LOS CASOS lo resuelven, pero ésta no es la única forma de SQL Inyection que existe y las Magic Quotes no lo resuelven todo, consulten el manual de PHP (Tópico: Seguridad en bases de datos/Inyección SQL) y verán lo que es bueno...; en fin, les daré los consejos fundamentales para evitar un SQL Inyection:

• Revisa que no existan cadenas ni caracteres como éstos: (OR, AND, ', -- y #) en las variables del POST.
• Escapa las cadenas con mysql_real_escape_string o addslashes ¡es mejor que las magic quotes!
  
• Si la variable es numérica, verifica que lo sea con is_numeric().
• NUNCA utilices al usuario administrador de la base de datos, crea uno con el acceso y privilegios necesarios.
• HASHEA las contraseñas ¡por favor!, si no sabes de que te hablo busca en google Hash o MD5 y con eso te digo todo.
• No vuelvas a iniciar sesión así en tus futuros sistemas, de ser posible utiliza el sistema de privilegios de usuario y crearle un usuario de base de datos a cada usuario; ésta es la forma correcta de hacer las cosas, tarda mucho lo sé pero te da un sinfín de ventajas.

Y con esto doy por terminada la primera entrega de Seguridad en PHP ¡No apto para novatos!, espero que tu cerebro quede lo suficientemente aturdido como para seguir mis consejos, ¡hasta la proxima!.

Confirmado! resuelto el Problema del Path en JAVA con JAR's

Desde que me quedé con la espinita de lograr el App.Path en Java con un *.JAR en Ubuntu 8.04 por otros medios, investigué más y lo encontré, el problema es que NO FUNCIONA cuando ejecutas el proyecto en NetBeans porque él lo ejecuta desde memoria, pero SI FUNCIONA DESDE FUERA jajajaja, pruébalo y veraz, en windows también funcionó igual ejecutando el *.JAR fuera del NetBeans. Eres muy Afortunado, muy pocos lo han conseguido y en Google solo aparecen 2 link's en inglés que se acercan. Bueno, como lo prometido es deuda:

java.io.File arc = new java.io.File(System.getProperty("java.class.path"));
try{
this.jTextField2.setText(arc.getAbsolutePath().replace(arc.getName(), ""));
catch (Exception ex){}

a diferencia del System.getProperty("user.dir") el System.getProperty("java.class.path") le indica al JRE de Java que devuelva la identificación de la ruta en donde las clases se almacenan, que es por ende el directorio donde está nuestro *.JAR.

Recuerda que sólo funciona fuera del NetBeans, así que para depurar podrías utilizar una variable pasada como argumento y utilizar user.dir que dentro del NetBeans si devuelve el path del proyecto, asi que concatena con "/dist/turecurso.ext".

Funcionó perfectamente en Ubuntu 8.04 y Windows XP con cuentas limitadas. Hasta la próxima y corre la voz sin olvidar dar crédito a mis aportes.