Follow _ricardomaia on Twitter Visualizar perfil de Ricardo Maia no LinkedIn

Zend Framework 2 – Autoloading

By Brainfork on 18/03/2012

Entre as premissas do Zend Framework 2 (ZF2) está em resolver questões relativas à performance. Para resolver isso uma das estratégias foi redesenhar a forma como a antiga classe Zend_Loader_Autoloader (ZF1) trabalha, abusando, se é que se pode dizer isso, do pattern Lazy Loading, cujo objetivo é adiar tanto quando possível o carregamento de um objeto até que ele seja realmente necessário.

Neste post vou apresentar 4 formas diferentes de carregar suas classes, sendo 3 delas desacopladas da estrutura de aplicação do ZF2. Será apresentado também a forma de se “chamar” classes que utilizam namespaces e aquelas que utilizam prefixo.

Baixe o código-fonte deste artigo: autoloading

À moda antiga…

No Zend Framework 1 realizamos o autoloading de nossas classes mais ou menos assim:

define('DS',DIRECTORY_SEPARATOR);
define('PS',PATH_SEPARATOR);

set_include_path ( get_include_path() . PS . __DIR__  .
		DS .  'library' . PS .
		'/home/brainfork/zend-framework/zf1/library/');

require_once 'Zend'. DS .'Loader'. DS .'Autoloader.php';
$autoloader = Zend_Loader_Autoloader::getInstance();

//Classes com namespace
$autoloader->registerNamespace('ComNamespace');

//Classes sem namespace (com prefixo)
$autoloader->registerNamespace('ComPrefixo_');

$com_namespace = new ComNamespace\Foo();
$com_namespace->bar();

$com_prefixo = new ComPrefixo_Foo();
$com_prefixo->bar();

Note que na linha 01 inclui a pasta ‘library’ do meu diretório corrente com __DIR__  . DS .  'library'.

Ao fazer a chamada para ComNamespace\Foo ou ComPrefixo_Foo o ZF tem que realizar uma “tradução” nos nomes das classes convertendo barras ou sinais de underscore para separadores de diretório e então percorrer todos os caminhos de inclusão (include paths) definidos para encontrar o arquivo correspondente.

No ZF2 a estratégia de exigir, de alguma forma, que o desenvolvedor informe o caminho onde se encontram as classes que ele deseja carregar. Isso pode ser feito manualmente, informando os caminhos de acordo com o namespace ou prefixo ou por meio de um mapeamento completo feito com o auxílio do script classmap_generator.php, que veremos mais adiante.

Registrando meio meio de métodos

No exemplo abaixo, o mapeamento foi realizado utilizando-se os métodos registerNamespace e registerPrefix:

define('DS',DIRECTORY_SEPARATOR);
define('PS',PATH_SEPARATOR);

set_include_path ( get_include_path() . PS .
		'/home/brainfork/zend-framework/zf2/library/' );

require_once 'Zend'. DS .'Loader'. DS .'StandardAutoloader.php';
$autoloader = new Zend\Loader\StandardAutoloader();
$autoloader->register();

//Classe com namespace
$autoloader->registerNamespace('ComNamespace', __DIR__ . DS . 'library' . DS . 'ComNamespace');

//Classes sem namespace (com prefixo)
$autoloader->registerPrefix('ComPrefixo_', __DIR__ . DS . 'library' . DS . 'ComPrefixo');

$com_namespace = new ComNamespace\Foo();
$com_namespace->bar();

$com_prefixo = new ComPrefixo_Foo();
$com_prefixo->bar();

Veja que na linha 04 eu já não incluo mais o diretório ‘library’ do meu projeto.

Registrando por Array

A segunda forma é chamar o passando para ele um array com o mapeamento das classes. Veja:

define('DS',DIRECTORY_SEPARATOR);
define('PS',PATH_SEPARATOR);

set_include_path ( get_include_path() . PS .
		'/home/brainfork/zend-framework/zf2/library/' );

require_once 'Zend'. DS .'Loader'. DS .'AutoloaderFactory.php';

use Zend\Loader\AutoloaderFactory as Loader;

Loader::factory(
    array(Loader::STANDARD_AUTOLOADER =>
    array(
      //Classe com namespace
     'namespaces' => array(
     'ComNamespace' => __DIR__ . DS . 'library' . DS . 'ComNamespace',
      ),
      //Classes sem namespace (com prefixo)
      'prefixes' => array(
       'ComPrefixo_' => __DIR__ . DS . 'library' . DS . 'ComPrefixo',
      ),
    )
  )
);

$com_namespace = new ComNamespace\Foo();
$com_namespace->bar();

$com_prefixo = new ComPrefixo_Foo();
$com_prefixo->bar();

O Classmap Generator

A terceira forma de realizar o autoloading fora da estrutura de aplicação do ZF2 é utilizando a ferramenta classmap_generator.php

O que o classmap_generator faz é percorrer o diretório informado, varrendo em busca de classes para gerar um arquivo autoload_classmap.php, que nada mais é do que um array contendo um mapeamento explícito entre classes e seus respectivos caminhos. Veja no exemplo abaixo o código referente as duas classes que tenho no diretório ‘library’ do projeto:

// Generated by ZF2's ./bin/classmap_generator.php
return array(
    'ComPrefixo_Foo'   => __DIR__ . '/ComPrefixo/Foo.php',
    'ComNamespace\Foo' => __DIR__ . '/ComNamespace/Foo.php',
);

Veja que neste caso não foram mapeados apenas os namespaces ou prefixos mas a classe diretamente, sendo a solução que apresenta melhor performance.

Para criar o mapeamento eu utilizo a ferramenta pelo console, dentro do diretório que eu desejo que seja mapeado, informando para o PHP o caminho completo par ao script. A saída é o arquivo autoload_classmap.php.

brainfork@bnix / $ cd /var/www/zf2labs/library
brainfork@bnix /var/www/zf2labs/library $
brainfork@bnix /var/www/zf2labs/library $ php /home/brainfork/zend-framework/zf2/bin/classmap_generator.php -w
Creating class file map for library in '/var/www/zf2labs/library'...
Wrote classmap file to '/var/www/zf2labs/library/autoload_classmap.php'

A seguir você vê como o autoloader utiliza o arquivo autoload_classmap.php:

define('DS',DIRECTORY_SEPARATOR);
define('PS',PATH_SEPARATOR);

set_include_path ( get_include_path() . PS .
		'/home/brainfork/zend-framework/zf2/library/' );

require_once 'Zend'. DS .'Loader'. DS .'ClassMapAutoloader.php';

$autoloader = new 	Zend\Loader\ClassMapAutoloader(
		array(__DIR__ . DS . 'library'. DS .'autoload_classmap.php') );

$autoloader->register();

$com_namespace = new ComNamespace\Foo();
$com_namespace->bar();

$com_prefixo = new ComPrefixo_Foo();
$com_prefixo->bar();

Module Autoloader

Finalmente, a 4ª e última forma que irei apresentar. Desta vez demonstrarei como é feito o mapeamento de suas bibliotecas como módulos na estrutura de uma aplicação ZF2.

Parti da aplicação de exemplo Zend Skeleton Application disponível em https://github.com/zendframework/ZendSkeletonApplication/zipball/master

A abordagem de módulos no ZF2 foi remodelada para prover maior flexibilidade e reuso. A idéia é também permitir que a comunidade escreva e disponibilize seus módulos para serem utilizados por outras pessoas de maneira simples. Provavelmente os módulos serão disponibilizados em http://modules.zendframework.com/

A estrutura básica de uma aplicação do ZF2 é mostrada a seguir:

application_root/
    config/
        application.config.php
    data/
    module/
    vendor/
    public/
        .htaccess
        index.php

Já a estrutura de um módulo MVC você vê abaixo:

module_root/
    Module.php
    autoload_classmap.php
    autoload_function.php
    autoload_register.php
    config/
        module.config.php
    public/
        images/
        css/
        js/
    src/
        /
            <code>
 test/
 phpunit.xml
 bootstrap.php
 /

 view/

Fiz algumas modificações no Zend Skeleton Application, especialmente no layout, de modo a tornar a aplicação mais “limpa”.

Para incluir meu módulo fiz basicamente as seguintes alterações:

1º – Modifiquei o arquivo .htaccess, informando a localização do ZF2 na variável de ambiente ZF2_PATH.

SetEnv APPLICATION_ENV local
SetEnv ZF2_PATH "/home/brainfork/zend-framework/zf2/library/"

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -s [OR]
RewriteCond %{REQUEST_FILENAME} -l [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^.*$ - [NC,L]
RewriteRule ^.*$ index.php [NC,L]

2º – Modifiquei o arquivo application.config.php, acrescentando meu módulo:

return array(
    'modules' => array(
        'Application',
    	'MinhaEmpresa',
    ),
    'module_listener_options' => array(
        'module_paths' => array(
            './module',
            './vendor',
        ),
    ),
);

3º – Criei a estrutura de arquivos e diretórios do meu módulo, copiando a estrutura do modulo Application que vem no Zend Skeleton Application:

Estou acrescentando um módulo que servirá apenas como uma biblioteca externa, não como um módulo MVC, por isso removi as pastas src, view e config.

vendor/
MinhaEmpresa/
        library/
                MeuPacote/
                    Foo.php
    autoload_classmap.php
    autoload_function.php
    autoload_register.php
    Module.php

4º – Modifiquei o arquivo Module.php especificando o namespace MinhaEmpresa:

namespace MinhaEmpresa;

use Zend\Module\Manager,
    Zend\EventManager\StaticEventManager,
    Zend\Module\Consumer\AutoloaderProvider;

class Module implements AutoloaderProvider
{

    public function getAutoloaderConfig()
    {
        return array(
            'Zend\Loader\ClassMapAutoloader' => array(
                __DIR__ . '/autoload_classmap.php',
            ),
        );
    }
}

5º – Acrescentei a clase MeuPacote\Foo:

namespace MeuPacote;

class Foo
{
	public function bar()
	{
		return get_class($this) . PHP_EOL;
	}
}

6º – Gerei um o arquivo autoload_classmap.php com o Classmap Generator.

// Generated by ZF2's ./bin/classmap_generator.php
return array(
    'MeuPacote\Foo'       => __DIR__ . '/library/MeuPacote/Foo.php',
    'MinhaEmpresa\Module' => __DIR__ . '/Module.php',
);

Sei que pode parecer confuso. Sugiro baixar o código-fonte disponibilizado no início deste artigo e alterá-lo um pouco, prestando atenção, principalmente, nos caminhos onde se encontram as libraries do ZF1 e ZF2.

TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em | Tags: , , , , | Deixe um comentário

Script de backup remoto criptografado no Linux

By Brainfork on 03/02/2012

Estou compartilhando neste artigo um script de backup remoto criptografado no Linux que utilizo em meu VPS da Linode, que diga-se de passagem é ótimo!

O script não é tão diferente de outros. O diferencial é alguns comandos normalmente necessitariam de alguma interação do usuário, o que dificultaria o agendamento para execuções programadas da rotina de backup.

Para que a transferência de arquivos por SCP não solicite uma senha de conexão, você teria que criar um par de chaves público/privada e instalar uma chave no servidor remoto. Achei melhor montar o diretório remoto com  sshfs e fazer uma cópia como se fosse local.

Tive que descobrir também uma forma do GPG não solicitar a senha para criptografar o arquivo.

Bem, chega de papo… abaixo você pode ver a versão do script quando escrevi este artigo.

Sinta-se à vontade para sugerir melhorias e colaborar com código, que se encontra no GitHub no endereço:  https://github.com/ricardomaia/Backup-Seguro

#!/bin/bash
 # Este script realiza um backup em um servidor remoto em arquivos
 # compactados e criptografados.
 #
 # @copyright 2012, Ricardo Maia (Brainfork)
 # @version 1.0
 # @license http://opensource.org/licenses/gpl-license.php GNU Public License

#Usuario SSH do Servidor Remoto
 USR_SSH="usuario"
 #Senha SSH do Servidor Remoto
 PWD_SSH="senha"
 #Servidor SSH Remoto
 HST_SSH="remotehost.com"
 #Caminho (path) no servidor remoto onde o backup sera gravado
 RMT_PATH="/remote/path/to/backup"
 #Caminho (path) no servidor local
 MNT_PATH="/mnt/local/"
 #Senha usada para criptografar o arquivo de backup
 PWD_FILE="senha"
 #Caminho onde sera montada a pasta de backup do servidor remoto.
 BKP_PATH="/local/backup/path"

# INFORME OS DIRETORIOS PARA BACKUP
 DIRETORIOS[0]="/var/www"
 DIRETORIOS[1]="/etc/apache2"

clear
 echo "INICIO DA ROTINA DE BACKUP SEGURO"
 echo "Montando sistema SSH remoto..."

echo $PWD_SSH | sshfs "$USR_SSH@$HST_SSH:$RMT_PATH" $MNT_PATH -o workaround=rename -o password_stdin

if [ $? == 0 ]
 then

###############################################
 # NAO EDITAR ABAIXO DESTA LINHA
 ###############################################

DATA=`date +%d_%m_%Y`

#INFORMANDO OS DIRETORIOS QUE ESTAO NO SCRIPT
 echo "${#diretorios[@]} foram cadastrados."
 echo "Os diretorios incluidos neste backup sao:"

for DIRETORIO in "${DIRETORIOS[@]}"; do
 echo "$DIRETORIO"
 done
 #COMPACTANDO, PROTEGENDO E COPIANDO OS ARQUIVOS DE BACKUP
 cd $BKP_PATH

for DIRETORIO in "${DIRETORIOS[@]}"; do

NOMEDIR="${DIRETORIO//\//_}"
 ARQUIVO="$NOMEDIR"-"$DATA.tar.gz"
 PROTEGIDO="$ARQUIVO.gpg"

echo "Compactando diretorios..."
 tar zcf $ARQUIVO $DIRETORIO 2>/dev/null

echo "Protegendo arquivos de backup..."
 echo $PWD_FILE | gpg --passphrase-fd 0 -c "$BKP_PATH/$ARQUIVO"

echo "Copiando arquivos de backup para o diretorio remoto..."
 cp "$BKP_PATH/$PROTEGIDO" $MNT_PATH

done

echo "Desmontando diretorio remoto..."
 umount $MNT_PATH
 echo "FIM DA ROTINA DE BACKUP SEGURO"
 exit 0
 else
 echo "Erro ao montar o diretorio remoto."
 exit 1
 fi
TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em , , , | Tags: , , , , , | Deixe um comentário

Classificação e ciclo de vida de um bug no Trac

By Brainfork on 25/01/2012

Em meus projetos de desenvolvimento de software utilizo a ferramenta Trac para o gerenciamento de mudanças.

O Trac tem recursos interessantes como Wiki, Linha do Tempo (onde é exibido um histórico das mundanças), Roadmap, Visualização de código-fonte e é claro, gerenciamento de Tickets. Um ticket seria melhor traduzido, neste contexto, como um pedido de mudança.

O Trac vem com uma classificação padrão de tickets quanto ao tipo,  prioridade e solução. É possível também criar uma classificação quanto a gravidade, mas geralmente não utilizo pois associo prioridade à gravidade, como veremos mais adiante.

Tipos de Ticket

Os tickets são geralmente divididos em 3 tipos:

  • Defect – Bug/Defeito
  • Enhancement – Melhoria
  • Task – Tarefa

Prioridade

Como eu havia dito antes, costumo associar a prioridade à gravidade ou urgência do pedido de mudança. A prioridade faz mais sentido em se tratando de defeitos (bugs) embora seja utilizada em todos os casos, mesmo se tratando de melhorias puramente estéticas.

  • Extrema/Crítica (Blocker/Critical) – Quebra da aplicação ou perda de dados.
    • Quesito que impede a continuidade do desenvolvimento ou de testes.
    • Grande instabilidade que venha a exaurir os recursos de hardware tais como memória ou processador.
    • Corrigir no próximo build.
  • Alta (Major) – Problemas graves mas que não chegam a “quebrar” a aplicação.
    • O defeito compromete pelo menos um requisito funcional. e.g. Cálculos incorretos, campos errados sofrendo alteração, etc.
    • Corrigir o quanto antes. Próximo item a ser realizado caso não exista nenhum ticket crítico.
  • Média (Minor) – Perda de funcionalidades menos importantes.
    • Perda de funcionalidades importantes ou que possuem uma maneira fácil de contornar o problema (workaround).
    • Corrigir no próximo milestone.
  • Baixa  (Trivial) – Problema muito pequeno, como erros de digitação, mensagens de erro confusas, ordem incorreta nos elementos de interface etc.
    • Problemas que não afetam a funcionalidade do sistema.
    • Corrigir no próximo release.

Quando aplicar as mudanças?

Você deve ter notado que de acordo com a prioridade eu defino quando a mudança será aplicada. Acho interessante então apresentar alguns outros conceitos. São eles build, milestone e release.

  • BuildEm se tratando de linguagens compiladas, o build seria uma versão executável, binária obtida pela transformação do código-fonte em linguagem de máquina. Em linguagens interpretadas, eu considero build  como uma porção de código que possa ser executada.
  • MilestoneO conceito de milestone ou marco, está associado a gerência de projetos. É um ponto de verificação durante a execução de um projeto. Para projetos de desenvolvimento de software, você poderia entender o milestone como o lançamento de uma versão de testes (alpha ou beta) ou das versões candidatas a produto final. No Trac os milestones são definidos dentro de um Roadmap (roteiro).
  • ReleaseNo caso, considero o release, como um lançamento candidato a produto final, onde todas as funcionalidades planejadas estão presentes e o código está estável.

Ciclo de Vida de um Ticket

  1. O usuário acessa a ferramenta Trac e abre um novo ticket; Seu estado é Não Confirmado (Unconfirmed);
  2. O ticket (defeito, melhoria ou tarefa) é registrado. Seu estado é Novo (New);
  3. É feita uma triagem para classificar o ticket.
    1. No caso de defeitos, o responsável pela triagem tenta reproduzir o erro para confirmar sua veracidade;
    2. É definida uma prioridade, conforme os critérios que eu mencionei;
    3. É definido um proprietário ou responsável para tratar daquele ticket; Seu estado é Atribuído (Assigned);
    4. Dados como: aplicativo, módulo, componente e versão são complementados;
  4. O proprietário realiza as ações relativas ao ticket. Seu estado é Resolvido (Resolved);
  5. O proprietário do ticket verifica ele mesmo ou junto ao solicitante se as ações foram efetivas, ou seja, se a mudança surtiu o efeito desejado, corrigindo o defeito, concluindo a tarefa ou aplicando a melhoria; Se estiver tudo certo o ticket recebe o estado de Verificado (Verified) e em seguida é Fechado (Closed); Senão é Reaberto (Reopen) e o proprietário volta a trabalhar nele.
Soluções para um ticket
O ticket pode ser resolvido com as seguintes soluções:
  • Wontfix (Não será corrigido) - um ticket será solucionado com wontfix quando não houver a intenção de atender à solicitação de mudança. e.g. o solicitante quer uma mudança de cores no logotipo, mas o responsável pelo projeto entende que isso não é necessário.
  • Fixed (Corrigido) – o proprietário realizou as mudanças.
  • Invalid (Inválido) – No caso de defeitos, o responsável pela triagem do ticket verificou que não era um defeito realmente, por exemplo, o usuário informa não consegue acessar o sistema quando na verdade sua conexão com a rede é que não está funcionando.
  • Worksforme (Funcionou comigo) - Não foi possível reproduzir o defeito.
  • Duplicate (Duplicado) – um ticket com este pedido de mudança já existe.
Adaptado de http://commons.wikimedia.org/wiki/File:BzLifecycle.png

Espero com este artigo esclarecer sobre a gestão de mudanças como parte do processo de desenvolvimento de software e apresentar como sugestão a ferramenta Trac para realizar esta tarefa. Farei, em breve, um tutorial de como instalar e configurar essa ferramenta no Linux. Até mais!

TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em , , , | Tags: , , , , | Deixe um comentário

Zend_Application – Bootstrap e INI

By Brainfork on 23/09/2011

Neste post venho apresentar algumas das configurações que faço no arquivo application.ini para as aplicações desenvolvidas com Zend Framework.

Include Path

É possível especificar diversos “include paths” na aplicação. Isso é bastante útil pois não é preciso sobrecarregar as configurações do php.ini

;Include Paths. Podem ser especificados varios include paths.
includePaths.library = APPLICATION_PATH "/../library"
includePaths.external = "/opt/lib/external"

Application Namespace

Apesar de ser possível configurar esta opção no application.ini, não acho que seja interessante, pois não se trata de configuração pura e simples, e sim um requisito fortemente acoplado a sua solução. É mais seguro defini-lo no Bootstrap. O namespace padrão não é como o endereço do servidor de banco de dados ou opções de debug que você pode e deve ajustar com freqüência, então mantê-lo “fixo” em seu código PHP é melhor que mantê-lo num arquivo INI.

; namespace padrao.
; Embora seja possivel configura-lo aqui, talvez seja melhor mante-lo
; seguro num metodo _init* do Bootstrap.php
appnamespace = "Exemplo";
	public function _initAutoLoader()
	{
		//Inicializa o AutoLoader para não necessitar dos require
		require_once 'Zend/Loader/Autoloader.php';
		$loader = Zend_Loader_Autoloader::getInstance();
		$loader->setFallbackAutoloader(true);
		return $loader;
	}
	protected function _initTranslation()
	{
		$this->bootstrap('cache');
		$cache = $this->getResource('cache');
		$this->bootstrap('cache');
		$view = $this->getResource('view');
		$pt_BR = ( realpath( APPLICATION_PATH . '/../data/locales/pt_BR.php') );
		$translate = new Zend_Translate('array', $pt_BR, 'pt_BR');
		Zend_Translate::setCache($cache);
		$locale = new Zend_Locale(Zend_Locale::BROWSER);
		$translate->setLocale($locale->toString());
		// configura o tradutor padrao para as mensagens do Zend_Validade.
		Zend_Validate_Abstract::setDefaultTranslator($translate);
		// configura o tradutor padrao para os formularios (Zend_Form)
		Zend_Form::setDefaultTranslator($translate);
		Zend_Registry::set('Zend_Translate', $translate);
	}
	protected function _initCache()
	{
		// duracao do cache em segundos. NULL significa que sera por tempo indeterminado.
		$frontendOptions = array(
                               'lifetime' => null,
		);
		// Diretorio onde os arquivo de cache serao guardados.
		$backendOptions = array(
                                'cache_dir' => APPLICATION_PATH. '/../data/cache/'
                                );
        $cache = Zend_Cache::factory('Core', 'File', $frontendOptions, $backendOptions);
        return $cache;
	}

Configurações do Front Controller

Com as configurações abaixo, é possível modificar o comportamento padrão do Front Controller. Por padrão o módulo default, o controller index e a action index são chamados.

;valor padrao = default
resources.frontController.defaultModule = "xpto"

;valor padrao = index
resources.frontController.defaultAction = "foo"

;valor padrao = index
resources.frontController.defaultControllerName = "bar"

View em UTF-8

É recomendável que você padronize todo seu projeto em UTF-8, desde a IDE até o servidor WEB e Banco de Dados.

;Configuracoes da View
resources.view.encoding = "UTF-8"

Zend_Mail

Facilita bastante também configurar o Zend_Mail em seu arquivo application.ini. Veja o exemplo abaixo:

;Zend_Mail
mail.transport = "smtp"
mail.host = "smtp.exemplo.com.br"
mail.auth_required  = 1
mail.user = "no-reply@exemplo.com.br"
mail.password = "senha_de_autenticacao"

Resources

No artigo Resources Plugins no Zend Framework eu explico como utilizar resources no Zend Framework.

;Caminho para os plugins (resources) proprios.
pluginPaths.Meu_Resource = APPLICATION_PATH "/resources"

[EOF]

TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em | Tags: , | 2 Comentários

Protegendo senhas de banco de dados

By Brainfork on 27/07/2011

Uma questão comum que aflige muitos desenvolvedores PHP é como proteger as senhas de conexão com o banco de dados. Este problema não é exclusivo das linguagens interpretadas. Embora pareça mais seguro, linguagens compiladas também sofrem deste problema.

Antes de qualquer coisas quero abordar duas premissas:

  • A segurança é inversamente proporcional a usabilidade. Quanto mais níveis de segurança, mais difícil será de acessar e usar o recurso.
  • Às vezes não é preciso armazenar um segredo.

Tendo essas duas premissas em mente, apresento algumas opções:

1ª Opção – Senha no banco de dados: Você pode fazer com que a senha que conecta sua aplicação ao banco seja fornecida pelo usuário durante o login. O usuário da aplicação seria também um usuário de conexão com o banco.

Prós: Você pode aplicar restrições de acesso (ACL) a tabelas, views e funções criando mais um nível de segurança.  A senha não fica na aplicação e o usuário da aplicação não se conecta ao banco por meio de um usuário de banco com permissões muito maiores que as necessárias.

Contras: Provavelmente você terá de desenvolver alguma ferramenta abstração / interface entre suas regras de negócio e as respectivas permissões em banco de dados.

2ª Opção – Senha em memória compartilhada: A senha de conexão com o banco teria de ser informada pelo administrador ao inicializar a aplicação. A partir de então um hash poderia ser armazenado em memória compartilhada. Você pode utilizar as  funções de memória compartilhada do PHP para implementar uma solução como esta.

Prós: A senha não fica na aplicação. Você não precisa armazenar o segredo.

Contras: Deve se ter um cuidado para que outras aplicações no mesmo servidor não manipulem ou leiam indevidamente esta área de memória compartilhada.

3ª Opção – Autenticação externa (LDAP, Active Directory, PAM): Esta é uma variante da 1ª opção. Nela o usuário informa uma senha por meio da aplicação que é repassada ao banco, mas o banco de dados por sua vez fará a verificação das credenciais em uma fonte externa, como um Active Directory.

Prós: A senha não fica na aplicação.

Contras: Utilizar uma fonte externa pode causar inconsistências, pois sua aplicação não tem qualquer controle sobre a administração dos usuários.

4ª Opção – Registro do Windows: É como manter a senha em um arquivo de configuração.

Prós: A senha não fica junto do código. Uma senha específica para os ambientes de desenvolvimento, teste, homologação e produção já estariam configuradas no servidor.

Contras: Requer Windows e o uso de funções COM no PHP. Pessoalmente não gosto pois a solução está amarrada a um Sistema Operacional específico e exige elevado nível de privilégio do usuário que executa os processos do servidor web. Se preferir esta abordagem você pode utilizar a classe w32registry para facilitar o seu trabalho.

5ª Opção – Arquivo de configuração: É a opção mais simples e comumente utilizada. Um arquivo de configuração .INI ou .PHP. É recomendável que este arquivo esteja fora do diretório web.

Prós: A senha não fica acoplada ao código-fonte. Facilidade de uso. O Zend Framework por exemplo utiliza esta abordagem. É uma opção razoavelmente segura se as configurações de acesso ao arquivo forem bem definidas

Contras: A senha, embora não faça parte do código-fonte, normalmente é armazenado junto com ele e aumenta o risco de vazamento da senha, quando o código é disponibilizado, por exemplo, em um servidor de controle de versão ou faz parte de um projeto open source.

Adicionalmente você poderá implementar um canal seguro criptografado entre o seu servidor web e o servidor de banco de dados. O MySQL e PostgreSQL, por exemplo, aceitam realizar conexões SSL.

Com o PostgreSQL você informar o parâmetro sslmode na string de conexão do pg_connect.

$conn=pg_connect("host=10.0.0.123 port=5432 dbname=db_sample
user=foo password=bar sslmode=require");

O sslmode aceita as opções: disable, allow, prefer e require.

Já no MySQL você pode realizar uma conexão segura utilizando a flag MYSQLI_CLIENT_SSL, no método mysqli::real_connect.

$mysqli = mysqli_init();
$mysqli->real_connect('localhost', 'foo', 'bar', 'db_sample', null, MYSQLI_CLIENT_SSL);

Com esses ajustes você poderá proteger o tráfego na DMZ contra sniffing de pacotes e ataques men-in-the-middle, mas a degradação de performance é considerável quando o volume ou o número de transações for muito grande.

Conclusão

Estas são somente algumas sugestões. Tenha sempre em mente as duas premissas que apresentei no início. Você poderia implementar uma solução mais complexa onde sua aplicação armazenasse a senha  criptografa em memória e se comunicasse com um dispositivo HSM para decriptografá-la quando necessário. Pessoalmente acho um exagero, pois muitas explorações de vulnerabilidade em aplicações web não necessitam que o atacante conheça a senha de banco de dados, por exemplo, ataques de SQL/Code Injection. Chris Shiflett em 2005 já havia postado em seu blog seus dois princípios básicos de segurança. “Filter input. Escape output”

TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em , , | Deixe um comentário

PHP 5.4 e Zend Framework 2.0 estão a caminho

By Brainfork on 15/06/2011

Para não ficar muito tempo sem atualizar o blog, resolvi postar algo de caráter informativo sobre as novidades no PHP e no Zend Framework.

PHP 5.4

Provavelmente teremos uma versão estável por volta de outubro ou novembro, dentre as novidades eu gostaria de destacar:

  • Fim do safe_mode, que já estava obsoleto (DEPRECATED) desde a versão 5.3
  • O magic_quotes continua por lá, por enquanto, mas o register_globals deu seu último suspiro!
  • Scalar Type Hint continua lá, beleza!
  • Suporte a Traits, que permite que você faça algo parecido com mixins mas sem utilizar herança.
  • Array Dereferencing, ainda não vi grande aplicação para isso!
  • Charset padrão UTF-8 ao invés de ISO-8859-1. Até que enfim!
  • DTrace
  • Short tags ( <?= ) sempre disponível.

Zend Framework 2.0

No ZF temos as seguintes novidades:

  • As classes serão organizadas utilizando o recurso de namespaces, incluído na versão 5.3 do PHP.
  • ZF só vai utilizar autoload e acabar com os require_once, que podem causar erros fatais, e introduzir um mapa de classes (Class-Map). Para facilitar o trabalho criaram um classmap_generator.
  • Melhorias e padronização do sistema de plugins (helpers, adapters, filters e validators).
  • Eliminação da classe Zend_Exception.
  • Implementação do paradigma de programação orientada a aspecto (AOP), com a finalidade de permitir que os desenvolvedores alterem parte do comportamento do framework e implementem filtros, validações e verificações de ACL sem a necessidade de extender as classes do ZF. Para auxiliar nessa tarefa, introduziram a class Zend\EventManager, responsável por prover  interceptadores, eventos etc.
  • Implementação da classe Zend\DI responsável por gerenciar a injeção de dependência (Dependency Injection), cujo objetivo é  aumentar a performance, diminuir o acoplamento e simplificar o código do controller.

Para testar as novidades do Zend Framework 2.0 baixe a versão 2.0.0dev3. (ZIP)

Já para testar o PHP é necessário compilar o código-fonte disponível no servidor Subversion.

svn checkout http://svn.php.net/repository/php/php-src/branches/PHP_5_4/ php-src-5.4-dev

TwitterFacebookGoogle GmailOrkutDeliciousShare

Publicado em | Tags: , | 6 Comentários

Next »